본문 바로가기
악성코드 정보

국산 프리웨어로 위장한 트위터 관련 악성코드

by 알 수 없는 사용자 2011. 10. 27.

2010년 7월 30일 오전 ASEC에서는 국내에서 제작된 프리웨어 프로그램을 이용하여 악성코드 감염을 시도하는 사례가 발견되었다.

번 국내에서 제작된 프리웨어 프로그램에서 발견된 악성코드 감염 사례는
2010년 5월 해외에서 발견되었던 소셜 네트워크 서비스(SNS, Social Network Service)를 이용해 악성코드에 감염된 시스템들을 조정하는 사례와 유사한 형태를 보이고 있다.

2010년 7월 30일 발견된 국내에서 제작된 프리웨어 프로그램은 아래 이미지와 같이 모기퇴치 프로그램이라고 명시하고 있으나 실제 해당 프로그램이 실행되면 윈도우 시스템 폴더(C:\windows\system32)에 ckass.dll (101,376 바이트)라는 DLL 파일을 생성한다.



생성된 DLL 파일은 아래 이미지와 같은 특정 트위터(Twitter) 계정의 페이지로 접속을 시도하며 성공적으로 접속이 이루어지면 해당 트위터 계정에서 생성한 트윗 메시지를 통해 다른 시스템에서 특정 파일을 다운로드 한 후 실행하도록 되어 있다.


그러나 ASEC에서 테스트할 당시에는 해당 시스템에는 파일이 존재하지 않고 있으며 2010년 5월 이후로 다른 특정 트윗 명령들이 존재하지 않는 것으로 미루어 해당 트위터 계정은 더 이상 사용되지 않는 것으로 추정된다.

이번 국산 프리웨어로 위장해 감염을 시도하고 트위터를 통해 조정 명령을 수행한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Dropper/Twitbot.494080
Win-Trojan/Agent.101376.DG

이러한 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.


1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글