본문 바로가기
악성코드 정보

중고거래 사이트를 위장하여 PC를 좀비화시키는 악성코드 주의

by 알 수 없는 사용자 2011. 1. 31.


1. 서  론

블로그를 통해 디지털카메라, 노트북 등 고가의 물품을 판매하는 것처럼 꾸며 첨부파일 설치를 유도하는 악성코드가 발견되었습니다. 해당 PC를 감염시켜 제어권한을 획득하여 파일 및 중요정보 탈취 / 변조를 유발하기 때문에 주의를 필요로 합니다.

2. 악성코드 유포방법 및 증상

고가의 인기 물품(DLSR, 노트북, 각종 IT기기 등)들을 싸게 파는 것처럼 속여 접속을 유도하고, 제품 사진을 확인하기 위해선 첨부된 파일을 열어보도록 유도하여 악성코드를 감염시키는 방법으로 유포되고 있습니다.


첨부된 파일을 압축 해제하면 다음과 같은 파일들을 확인할 수 있습니다.  vbs, bat, exe 파일등의 악성파일이 보이지 않도록 숨김으로 설정되어 있습니다.


위의 파일들이 실행될 경우 백신 프로그램(Anti virus)의 동작을 중단시키고, 재부팅시 백신프로그램이 실행되지 않도록 레지스트리를 수정합니다. 또한 악성코드 실행 파일이 컴퓨터가 시작할 때마다 실행되도록 레지스트리에 추가합니다. 중단되는 프로그램과 수정되는 레지스트리 목록은 아래와 같습니다.

중단을 시도하는 서비스 목록

ALYac_PZSrv
V3 Lite Service
Nsavsvc
Nsvmon
McAfee HackerWatch Service
McLogManagerService
McNASvc
MpfService
mcpromgr
mctskshd.exe
mcmispupdmgr
mcusrmgr

Run 레지스트리에 다음 항목이 있을 경우 삭제
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v V3LTray /f
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v AYUpdate /f
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v NaverVaccine /f
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v AhnLab V3Lite Tray Process /f
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v McLogLch_exe /f

레지스트리 시작프로그램 항목에 다음 항목 추가 (PC부팅시 악성코드 반복 실행)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v autoexec.bat /t REG_SZ /d d:


이어서 hxxp://g****23.mir****e.com/server.exe 프로그램을 다운로드하여 실행하고, 다음 파일을 생성하고 레지스트리를 악성코드 값으로 수정합니다.

생성되는 파일
C:\WINDOWS\system32\bits.dll 

생성/수정되는 레지스트리
HKLM\SYSTEM\ControlSet003\Services\BITS
HKLM\SYSTEM\ControlSet003\Services\BITS\Parameters 
HKLM\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll


이 악성코드가 감염되면 특정 IP와 연결을 유지하는 것을 확인할 수 있습니다.


위의 IP는 중국 IP로 확인되었으며, 감염 된 PC를 원격으로 제어하기 위한 것으로 판단됩니다.



3. 진단 현황
현재 V3제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.

win.bat              Bat/Killav                                2011.01.29.00
win2.bat            Bat/Killav                                2011.01.29.00
player.exe         Win-Trojan/Maldown.70144       2011.01.28.03
server.exe         Win-Trojan/Antiav.114144          2011.01.28.01
제품+사진.exe    Dropper/Malware.3169826          2011.01.24.00


4. 결  론

최근들어 일반 게시물로 위장한 악성코드가 증가하는 추세로, 위의 악성코드가 포함된 게시물이 유명한 중고 쇼핑 사이트 등에 게시되면 크게 확산될 것으로 우려됩니다. 따라서 아래 사항을 참고하시어 악성코드로 부터 시스템을 안전하게 지키시기 바랍니다.

 - 판매글 등에 첨부된 파일이 .exe, .vbs와 같은 파일인 경우 접속하지 않거나, 바로 실행하지 말고, 다운로드 후
    백신검사를 통해 악성코드 여부를 확인합니다.
 - 신뢰 할 수 없는 개인 블로그, 잘 알려지지 않은 중고 물품 판매 사이트를 이용할 경우 첨부파일은 되도록
    다운로드/실행하지 않습니다.
 - MS 보안업데이트, V3 엔진 업데이트 등을 설치하여 최신버전으로 유지합니다.
 - 실시간 감시 기능을 사용하여 악성코드 감염을 사전에 방지합니다.
※ MS 보안업데이트 : http://www.microsoft.com/korea/security/default.mspx

댓글