최근 국내 유명 연예인인 A양을 촬영한 것으로 알려진 사생활 동영상이 유포되어 사회적으로 큰 이슈를 일으키고 있다.

이러한 사회적인 큰 이슈를 악용하여 2011년 12월 8일 저녁 국내에서도 많은 사용자가 있는 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter) 등을 통해 해당 연예인의 사생활 동영상으로 위장한 악성코드가 유포 되었다.


해당 트위터 계정은 비교적 최근에 생성한 것으로 보여지며, 해당 계정의 사용자에 대해 자세한 사항들이 존재하지 않는다. 그리고 다른 일반적인 내용 없이 위 이미지와 같이 유명 연예인의 동영상 파일로 위장한 ZIP 압축 파일을 다운로드하도록만 유도하고 있다.

해당 URL을 복사하여 웹 브라우저에서 다운로드를 시도하게 되면 아래 이미지와 같이 "[삭제] 아나운서 2분50초짜리.zip.zip(6.67MB)" 파일이 다운로드 된다.


다운로드 된 ZIP 압축 파일의 압축을 풀게 되면 아래 이미지와 같이 다수의 JPG 이미지 파일과 SFX로 압축된 EXE 파일이 존재한다.


그리고 텍스트 파일에서는 압축 파일에 같이 포함된 SFX로 압축된 EXE 파일을 실행하여야지만 동영상을 볼 수 있는 것 처럼 실행을 유도하고 있다.


해당 EXE 파일을 실행하게 되면 위 이미지와 같이 압축을 풀 경로를 선택하도록 하고 있으며, 아래 이미지와 같이 실제 성인 동영상 파일과 다수의 이미지 파일들이 해당 폴더에 생성된다.


그러나 해당 파일을 실행한 시스템의 사용자 모르게 netsecurity.exe(143,360 바이트) 파일도 같이 압축이 풀리면서 실행 된다.

netsecurity.exe이 실행되면 윈도우 시스템 폴더(C:\Windows\System32)에 netdrvsrty.exe(114,800 바이트) 파일을 생성하고, 윈도우 레지스트리(Windows Registry)에 다음 키 값을 생성하여 시스템 재부팅 이후에도 자동 실행 되도록 구성한다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
netsecurityDRV = "C:\WINDOWS\system32\netdrvsrty.exe"



생성된 netdrvsrty.exe는 마이크로소프트 비주얼 C++(Microsoft Visual C++) MFC로 제작 되었으며 해당 파일은 코드 상으로는 감염된 시스템의 IP 주소를 수집하고 감염된 시스템의 인터넷 익스플로러(Internet Explorer) 즐겨찾기 폴더에 웹 페이지 바로가기 파일들을 생성하게 되어 있다. 그러나 테스트 당시에는 코드상으로 존재하는 해당 악의적인 기능들이 정상 동작 하지 않았다.

이러한 일련의 사항들을 살펴 볼 때 이번 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드는 제작자의 명령에 따라 즐겨찾기 파일들 조작하는 애드웨어(Adware) 기능을 수행하기 위해 제작된 것으로 볼 수 있다.

해당 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.

Downloader/Win32.Korad
Trojan/Win32.Sysckbc
Dropper/Agent.6596635
저작자 표시
신고
Posted by 비회원