인터넷(Internet)의 발달과 함께 인스턴트 메신저(Instant Messenger) 프로그램의 개발은 인터넷을 통해 언제든지 사람들과 실시간 소통이 가능하도록 되었다. 이러한 인스턴트 메신저 프로그램 역시 악성코드가 유포되는 경로 중 하나로 오랜전부터 악용되어 왔었다.
인스턴트 메신저 프로그램들을 통해 악성코드가 유포되었던 사례들로는 2010년 5월 해외에서 많이 사용하는 야후(Yahoo) 메신저 악성코드 전파 사례와 2010년 7월 국내에서 많이 사용하는 네이트(Nate) 메신저 악성코드 전파 사례가 존재한다.
이와 함께 최근 소셜 네트워크 서비스(Social Network Service)의 활용 빈도가 증가한 이 후로는 2010년 11월 페이스북(Facebook)의 채팅 메시지로 악성코드 유포 사례도 존재한다.
최근 6월 말에 발견된 인스턴트 메신저 프로그램을 통해 유포되는 악성코드 중 현재 많은 사람들이 사용하고 있는 소셜 네트워크 서비스 대부분을 악성코드 유포를 위한 또 다른 경로로 복합적으로 악용하는 것을 발견하였다.
이 번에 발견된 악성코드가 시스템에서 실행이 되면 아래 이미지와 같이 윈도우(Windows) 시스템에 존재하는 정상 프로세스 중 하나인 Explorer.exe의 특정 메모리 영역에 자신의 코드 전체를 덮어쓰게 된다.
그리고 악성코드 제작자가 지정한 명령을 수행하기 위해 외부 네트워크에 위치한 특정하는 시스템으로 접속을 시도하게 된다.
해당 텍스트 파일은 감염된 시스템에서 보안 제품의 업데이트 또는 보안 업체 웹 사이트로의 접속을 방해하기 위해 다수의 보안 업체 리스트들을 포함하고 있다.
그리고 다시 파일 공유로 유명한 래피드쉐어(RapidShare)에 악성코드 제작자가 미리 업로드 해두었던 다른 악성코드를 다운로드 및 실행 하도록 한다.
해당 악성코드의 주된 유포 경로들은 아래 이미지에서와 같이 많은 사람들이 사용하는 이동형 저장 장치(USB)와 마이크로소프트(Microsoft)에서 개발한 MSN 메신저 프로그램을 악용하고 있다.
그리고 USB와 MSN 메신저 프로그램외에도 감염된 시스템에서 트위터(Twitter)와 페이스북의 로그인 세션이 이루어져 있다면, 해당 세션을 이용하여 사용자 모르게 트위터와 페이스북으로 로그인을 시도한다.
로그인이 성공하게 되면 각각의 SNS에 등록되어 있는 지인들에게 위 이미지와 같이 악성코드를 다운로드 할 수 있는 링크가 포함된 다이렉트 메시지(Direct Message), 페이스북의 담벼락 메시지 그리고 페이스북 채팅 메시지로 전달을 시도한다.
'악성코드 정보' 카테고리의 다른 글
| 온라인 게임 안내 메일로 위장한 악성코드 (0) | 2011.10.27 |
|---|---|
| ws2help.dll을 교체하는 온라인 게임 악성코드 분석 (2) | 2011.10.27 |
| MS10-087 취약점 악용 워드 악성코드 발견 (0) | 2011.10.27 |
| 지속적인 어도비 CVE-2011-2110 취약점 악용 (0) | 2011.10.27 |
| 신용 카드 한도 초과 안내 메일로 위장한 악성코드 유포 (0) | 2011.10.27 |
댓글