본문 바로가기
악성코드 정보

잡지회사 기사로 위장한 악성코드 유포

by 알 수 없는 사용자 2010. 12. 23.
1. 서론

탈취당한 메신저 계정을 통해 자극적인 메시지 및 URL을 유포, 특정 잡지회사의 기사로 위장한 페이지로 유도하는 형태의 사회 공학(Social Engineering) 기법을 이용한 악성코드 유포 사례가 발견되어 사용자들의 주의가 요구됩니다.



2. 악성코드 유포 방법 및 증상

1) 악성코드 유포방법


최초 메신저를 통해 자극적인 메시지와 함께 특정 URL(
http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 아래 그림과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동합니다.

[그림 1] 잡지회사 기사로 위장한 페이지 

해당 기사의 하단 부분의 "다운로드 더보기... "를 클릭할 경우, 악성코드가 압축된 rar 파일을 다운로드하게 되며 압축 해제 후 파일을 실행하게 되면 악성코드에 감염됩니다.
 
[그림 2] 잡지회사 기사로 위장한 페이지 하단의 링크

[그림 3] 링크 클릭시 파일 다운로드

2) 악성코드 증상

압축 해제 후 생성된 파일이 실행되면 원본과 동일한 파일을 생성합니다.

C:\WINDOWS\system32\[랜덤파일명].exe

아래와 같이 레지스트리값을 등록하며, 시스템 시작시 실행될 수 있도록 지속적으로 등록합니다.

[HKCU\Software\Microsoft\Internet Explorer\Main]
"TabProcGrowth"="0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray]
"Services"="0x1F"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,[랜덤파일명].exe"
...

그리고 다수의 온라인 게임과 메신저 계정을 유출시킵니다.


3. 진단 현황

현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.

Win-Trojan/Agent.55296.JV (진단/치료버전:2010.12.24.00)

댓글