1. 서론
 
금일 facebook 의 쪽지 기능을 통해 악성코드를 유포시키는 koobface 변종이 확산되고 있어, 관련 내용을 공유합니다.


2. 진단 현황

V3에서는 해당 악성코드를 아래와 같이 진단가능합니다.

V3(2010.09.27.04)
Win32/Koobface.worm.58368.F
Win-Trojan/Tdss.102912.B
Win32/Koobface.worm.119808
Win-Trojan/Koobface.253952
Win-Trojan/Koobface.28544
Win32/Koobface.worm.64512.G
V3(2010.09.27.03)
Win32/Koobface.worm.153600.B
Trojan/Win32.Agent
Worm/Win32.Koobface
Backdoor/Win32.Agent



3. 전파 경로

 koobface 는 facebook 이나, myspace 와 같은 SNS 의 쪽지기능과 같은 커뮤니케이션 기능을 기반으로 하여 전파됩니다. 


<fig 1. 악성코드를 전파하는 쪽지. 출처: wikipedia 뉴스 >



위 그림과 같이 수신되는 악성 URL 을 클릭했을 시, youtube 등의 서비스로 위장하는 사기성페이지에 접속되며, flash player를 설치하라는 내용을 띄워, 사용자에게 악성코드를 설치하도록 유도합니다.



<fig 2. youtube 위장 페이지>
 

4. 시스템에 미치는 영향

  • 사용자들의 민감한 정보 탈취 (facebook 의 로그인 정보나, 신용카드 정보 등)
  • 시스템을 좀비화시키며, p2p 기반의 botnet 에 접속하여 마스터의 명령을 수행
  • 탈취된 SNS 서비스들의 로그인정보를 바탕으로 지속적으로 악성코드를 전파(악성 url이 담긴 쪽지 등)
  • 추가적인 악성코드를 다운받고 실행시킴(가짜백신 등)
  • 다량의 네트워크 트래픽이 발생할 가능성 존재


5. 예방법

1. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
2. 출처가 불분명한 쪽지의 URL은 절대 접속하지 마시기 바랍니다.
3. 자신이 이용하는 서비스들의 패스워드를 주기적으로 변경하시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원