본문 바로가기
악성코드 정보

"16th 아시안 게임" 관련 문서로 위장한 악성코드 주의!

by 알 수 없는 사용자 2010. 11. 11.

1. 서론
16회 광저우 아시안 게임 개막을 앞두고 아시안 게임 관련 문서로 (PDF) 위장한 악성코드가 발견되어 사용자들의 주의가 당부됩니다.

2. 감염 시 증상

해당 악성코드의 파일명은 아래 그림과 같이 'The 16th Asian Games[공백].exe' 이며, 마치 폴더인 것처럼 위장하여 사용자로하여금 악성코드 실행을 유도하고 있습니다.



[그림1] 아시안 게임 관련 문서로 위장한 악성코드

악성코드가 실행될 때 사용자를 속이기 위해서 아래 그림의 PDF가 위치한 폴더(%CurrentPath%\The 16th Asian Games\)를 화면에 출력하게 되나 생성된 PDF파일은 손상된 파일로서 사용자를 현혹하기 위한 목적으로 사용됩니다.


[그림2] 16회 아시안 게임 관련 문서로 위장한 파일


또한 감염될 경우 아래와  같은 URL로 정상적인 접속을 시도하는 것 처럼 보이나 실제로 두 사이트에 접속해 보면 IIS 서버 구성 페이지만 출력되어 특별히 악의적인 행위를 하고 있다고 판단하기 어렵습니다. 하지만 악성코드가 해당 사이트들로 접속하는 패킷을 분석해 보면 [표1]과 같이 USER-Agent로 감염된 PC이름과 IP를 전송하는 것으로 확인되었습니다.

[접속 시도 URL]
http://happy.****.to/n*****rt.html?1289459144
http://freeshop.****.com/n*****rt.html?1289459144
 


GET /nXXXXXrt.html?12XX459548 HTTP/1.1

User-Agent: IPHOXXXXX(host:ahnXXX7-bXXaXf,ip:192.168.XXX.XXX)

Accept: */*

Host: freeshop.****.com

Connection: Keep-Alive


 [표1] 특정 사이트로 접속하는 패킷의 감염된 PC정보 전송

 

[그림3] 감염시 접속하는 사이트 1


 

[그림4] 감염시 접속하는 사이트 2


 

[생성된 파일]

%CurrentPath%\The 16th Asian Games\The 16th Asian Games.pdf

%USERPROFILE%\spoolsu.exe

%USERPROFILE%\%Local Settings\setup.exe


[레지스트리 변경]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run                       

systemupdate="%USERPROFILE%\spoolsu.exe"




3. 조치 방법
해당 파일은 V3엔진에 아래와 같은 진단명으로 반영되었으며, V3 엔진버전:2010.11.11.03 부터 진단/치료가 가능합니다.

V3엔진버젼: Win-Trojan/Agent.130560.DP



4. 예방 방법
1) 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
2) 알려진 파일형식의 파일 확장명 숨기기” 옵션을 해제하여 확장자를 조작하여 문서, 폴더 등으로 사용자를 현혹시키는 파일에 대해 사전에 실행파일임을 인지할 수 있습니다.

[그림 5] 탐색기의 확장자 관련 옵션 설정 값


댓글