해외에서 발견된 야후 메신저로 전파되는 악성코드

해외에서 2010년 5월 2일부터 야후(Yahoo) 메신저(Messenger) 프로그램을 통해 전파되는 악성코드들이 다수 발견되고 있는 것으로 시만텍(Symantec)에서 블로그 "New Yahoo! Messenger worm"를 통해 밝히고 있다.

유명 메신저 프로그램들을 통해 전파되는 메신저 관련 악성코드는 과거에도 다수가 존재하고 있지만 최근에는 자주 발견되지 않았으나 최근부터 다시 다수의 변형들이 발견되고 있음으로 많은 주의가 필요하다.

이번에 발견된 야후 메신저 프로그램을 통해 전파되는 악성코드는 감염된 시스템에서 야후 메신저 프로그램을 사용하고 있다면 아래 이미지와 같은 형태로 특정 웹 사이트로 연결하는 링크를 친구 리스트에 등록되어 있는 모든 사람들에 전달하여 감염을 시도하는 특징이 있다.

야후 메신저 프로그램의 대화창을 통해 전달 된 웹 사이트 링크를 클릭하게 되면 IM(임의의 5자리 숫자).JPG-www.myspace.com.exe (111,247 바이트) 파일을 다운로드 하게 된다.

다운로드 한 파일을 실행 하게 될 경우에는 윈도우 폴더(C:\Windows)에 자신의 복사본인 infocard.exe (111,247 바이트)을 생성하고 아래 이미지와 같이 실행하게 된다.

윈도우 레지스트리(Registry)의 특정 키값들을 변경하여 윈도우 시스템에서 실행되는 방화벽(Firewall) 프로그램을 우회하고자 한다. 그리고 윈도우 보안 센터의 바이러스 방지 서비스와 윈도우 업데이트 서비스를 중단 시킨다.

그리고 인터넷 익스플로러(Internet Explorer)를 실행하여 다음의 유명 SNS(Social Network Service) 웹 사이트인 마이스페이스(MySpace)의 특정 페이지로 연결한다.

이 외에도 다양한 메신저 프로그램들을 통해 악성코드 또는 메신저 피싱들이 발생하는는 사례들이 있음으로 아무런 대화 없이 웹 사이트 링크만 전달 하거나 메신저를 통해 금전적인 도움을 요구하는 행위 그리고 특정 프로그램을 설치하도록 유도하는 행위들에 대해서는 많은 주의가 필요하다.

이번 야후 메신저 프로그램을 통해 전파를 시도한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Bypassagent.111247
Win-Trojan/Bypassagent.104077
Win-Trojan/Bypassagent.103565.B

이렇게 메신저 프로그램을 통해 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.