페이스북 담벼락 게시물로 악성코드 유포

2011년 2월 11일 금일 오전 유명 소셜 네트워크 서비스(Social Network Service)인 페이스북(Facebook)을 사용하는 일부 국내 사용자들 사이에서 악성코드를 다운로드하도록 유도하는 웹 사이트 링크가 포함된 담벼락 게시물이 자동으로 유포되기 시작하였다.

이 번 페이스북 담벼락으로 유포된 악성코드는 2009년 11월 발견되었던 구글 리더의 유튜브 동영상으로 위장한 Koobface 웜과 동일한 사례이며 웹 페이지 내용만 다른 것으로 변경되었다.

금일 국내 페이스북 사용자들 사이에 유포되었던 담벼락 게시물은 아래 이미지와 같이 페이스북으로 연결되어 있는 모든 친구들이 볼 수 있도록 되어 있으며 구글 문서도구 웹 사이트 연결하는 링크로 되어 있다.

해당 페이스북 담벼락 게시물에 포함된 웹 사이트 링크를 클릭하게 되면 아래 이미지와 동일한 웹 사이트로 재연결하도록 구성되어 있다.

해당 웹 페이지에서는 몰래 카메라를 보여주는 동영상 웹 페이지로 위장하고 있으며 어도비 플래쉬 플레이어(Adobe Flash Player)가 구버전으로 동영상이 정상적으로 플레이 되지 않는다는 문구를 보여주게 된다.

그리고 아래 이미지와 동일한 setup502052.exe (167,936 바이트) 파일을 다운로드 하여 실행하도록 유도하고 있다.

그러나 해당 파일이 실행되면 자신의 복사본을 윈도우 폴더(C:\windows)에 hjky.exe (167,936 바이트) 으로 복사하고 사용자가 인지하지 못하도록 백그라운드로 페이스 웹 사이트에 로그인을 시도하게 된다.

페이스북 웹 페이지에 로그인이 성공하게 되면 페이스북에 작성되어 있는 사용자 개인 정보들을 수집하고 페이스북 담벼락에 악성코드를 다운로드 하도록 유도하는 웹 사이트 링크가 포함된 메시지를 생성하게 된다.

이 번 페이스북 담벼락을 통해 유포를 시도하였던 악성코드들의 감염을 예방하기 위해서는 잘아는 지인이 작성한 게시물이라도 웹 사이트 링크가 포함되어 있다면 클릭을 주의하고 웹 사이트에서 다운로드한 파일은 항상 최신 엔진으로 업데이트 된 백신으로 검사를 한 후 실행하여야 한다.

그리고 2010년 11월 발견된 페이스북 채팅 메시지로 유포되는 악성코드 사례에서와 같이 페이스북 로그인 상태 유지에 체크박스를 해지하여 사용자 모르게 자동으로 악성코드가 페이스북에 로그인하지 못하도록 예방한다.

이미 감염되어 백신으로 치료를 한 페이스북 사용자의 경우에는 사용하는 비밀번호를 변경하여 해당 페이스북 계정이 무단 도용되는 것을 예방하는 것이 중요하다.

이 번 페이스북 담벼락의 게시물로 유포를 시도하였던 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win32/Koobface.worm.167936

그리고 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.