특정 대상을 목표로 한 것으로 추정되는 악성코드가 첨부된 메일 유포 사례가 지속적으로 발생하고 있어 사용자들의 주의가 필요하다.

 

안철수연구소의 대응상태

현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있다.

 

V3:2011.04.22.00: Dropper/Pcclient.868608(V3)


Dropper/Pcclient.868608, 어떻게 유포될까?

이번에 발견된 것은 아래 메일형식을 사용하여 유포되었던 것으로 확인되었다.


제목: [긴급 통지]

 

본문:

긴급 통지 : 최근이 회사는 직원 중독을 분실 알 수 있다. 사무실 시스템 및 Office 소프트웨어를 업데이트하려면, 낯선 사람이 보낸 메시지를 열지 마십시오, 알 수 없는 사이트를 방문하지 마시기 바랍니다. 및 악성 소프트웨어에 대한 시작 항목을 모니터링. autoruns는 부팅 항목 소프트웨어 탐지 시스템의 sysinternals, 당신은 철저히 신속하게 알려지지 않은 바이러스의 존재를 확인할 수 있는 컴퓨터를 확인하는 경우 시간의 문제

 

첨부파일: check.exe


위 메일내용을 요약해 보면 "Sysinternals에서 개발한 Autoruns를 사용하여 PC에 존재할지 모를 악성코드를 조치할 수 있다."는 내용인데 자세히 읽어보면 문장흐름이나 어법이 상당히 부자연스러움을 알 수가 있다. 그런데 문제는 대부분의 사용자들이 호기심 또는 무관심으로 첨부된 파일을 열람하여 악성코드에 감염되는 경우가 비일비재하며, PC가 악성코드에 감염되는 것 뿐만 아니라 그로 인해서 PC에 존재하는 중요한 정보(예를 들면, 개인정보, 문서 등)을 탈취하여 악의적인 사용자에게 전송할 수 있다는 점에서 잠재적으로 심각한 문제가 발생할 수 있다.

[그림 1] 첨부파일의 아이콘

 

[그림 1]을 보면 첨부파일인 check.exe WinRar SFX(자동실행 압축풀림)으로 여러 파일이 패키지화되어 있다.

[그림 2 참조]


[그림 2] check.exe의 파일구조


메일 본문에도 언급되어 있다시피 첨부파일인 check.exe가 마치 Sysinternals에서 제작한 Autoruns인 것처럼 사용자를 믿게 하기 위해서 [그림 2]에서 보는 것처럼 check.exe는 악성코드와 정상 Autoruns관련 파일들이 악성코드와 함께 패키징되어 있음을 알 수 있고 check.exe를 실행하면 아래 그림처럼 설치화면이 출력되지만 이는 어디까지나 사용자를 속이기 위한 과정 중에 하나이다.

                                                    [그림 3] 허위 설치화면

 

설치가 완료되면 아래 그림에서 보는 것처럼 설치된 정상 Autoruns를 실행하도록 바탕화면에 바로가기 아이콘이 생성된다.


[그림 4] 바로가기 아이콘의 등록정보

 

그리고 바탕화면에 생성된 바로가기 아이콘을 클릭하면 아래 그림처럼 정상 Autoruns 프로그램이 실행되어 사용자가 악성코드를 실행하기 위한 과정임을 인지할 수 없도록 한다.

[그림 5]  정상 Autoruns 프로그램 실행

악성코드인 0421.exe가 실행되면서 생성한 %SYSTEM%\wbem\loadperf.dll은 아래 기능을 가지고 있다.


-. 키로깅 기능

-. 윈도우 이벤트 로그(System, Security, Application)삭제

- 하드웨어 정보

-. 화면캡쳐

-. rasphone.pbk에서 특정 정보(Device, PhoneNumber, DialParamsUID 등) 수집


DLL이 수집한 정보는 특정 URL로 전송되나 현재 해당 URL은 더 이상 동작하지 않는다.


신고
Posted by 비회원