2010년 6월 2일 야간 해외 보안 업체인 에프시큐어(F-Secure)에서 독일로 수출된 삼성(Samsung) 바다폰 구매시 제공되는 1GB microSD 에 이동형 저장 장치를 통해 전파되는 악성코드가 발견되었다고 해당 업체 블로그 "Samsung Wave Autorun.inf"를 통해 밝혔다.

이번 삼성 바다폰에서 발견된 악성코드는 최초 2010년 5월 10일경 러시아 지역에서 발견되기 시작한 것으로 ASEC에서는 파악하고 있다.

해당 악성코드가 윈도우 시스템에서 감염이 되면 먼저 다음 폴더에 자신의 복사본을 생성한다.

C:\Documents and Settings\All Users\Application Data\srtserv\

생성되는 악성코드의 복사본은 감염 당시에 존재하는 파일명을 그대로 사용하며 에프시큐어의 블로그 내용에서 "
slmvsrv.exe" 라는 파일명으로 알려진 것으로 미루어 최초 감염된 시스템에서 해당 파일명으로실행된 것으로 분석 된다.

그리고 감염된 시스템에 이동형 저장 장치가 연결되어 있다면 아래 이미지에서와 같이 이동형 저장 장치에 자동 실행을 위한
aUtoRuN.iNF (208 바이트
)자신의 복사본인 673,792 바이트의 파일을 생성한다.

ASEC에서는 분석과 테스트의 용이를 위해 임의로 a.exe로 파일명을 변경하여 진행하였다.



자동 실행을 위해 생성한
aUtoRuN.iNF (208 바이트
) 을 텍스트 편집기로 열어 보게 되면 아래와 같은 내용을 가지고 있으며 일부 한자로 보여지는 문자열이 존재하는 것으로 미루어 중국에서 제작된 것으로 추정된다.


악성코드에 감염된 시스템을 사용하는 사용자가 자신의 시스템이 감염되었음을 파악하지 못하도록 아래 이미지에서와 같이 프로세스(Process) 은폐를 하게 된다.


그리고 해외에서 제작된 온라인 메신저(Online Messenger) 프로그램인 QIP Infium과 Miranda의 사용자 계정과 암호의 외부 유출을 시도하게 된다.

이번 독일에 수출된 삼성 바다폰에서 발견된 악성코드는 V3 제품군에선 5월 13일자 엔진에서부터 아래 바이러스토털(VirusTotal) 이미지에서와 같이 진단하고 있다.



이러한 이동형 저장 장치를 통해 전파되는 악성코드의 감염을 예방하기 위해서는 이와 유사한 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포 사례에 언급한 바와 같이 이동형 저장 장치의 자동 실행을 중지 시키는 중요하다.

그리고 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 기본 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC