1. 서론
탈취당한 메신저 계정을 통해 자극적인 메시지 및 URL을 유포, 특정 잡지회사의 기사로 위장한 페이지로 유도하는 형태의 사회 공학(Social Engineering) 기법을 이용한 악성코드 유포 사례가 발견되어 사용자들의 주의가 요구됩니다.
탈취당한 메신저 계정을 통해 자극적인 메시지 및 URL을 유포, 특정 잡지회사의 기사로 위장한 페이지로 유도하는 형태의 사회 공학(Social Engineering) 기법을 이용한 악성코드 유포 사례가 발견되어 사용자들의 주의가 요구됩니다.
2. 악성코드 유포 방법 및 증상
1) 악성코드 유포방법
최초 메신저를 통해 자극적인 메시지와 함께 특정 URL(http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 아래 그림과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동합니다.
1) 악성코드 유포방법
최초 메신저를 통해 자극적인 메시지와 함께 특정 URL(http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 아래 그림과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동합니다.
[그림 1] 잡지회사 기사로 위장한 페이지
해당 기사의 하단 부분의 “다운로드 더보기… “를 클릭할 경우, 악성코드가 압축된 rar 파일을 다운로드하게 되며 압축 해제 후 파일을 실행하게 되면 악성코드에 감염됩니다.
[그림 2] 잡지회사 기사로 위장한 페이지 하단의 링크
[그림 3] 링크 클릭시 파일 다운로드
2) 악성코드 증상
압축 해제 후 생성된 파일이 실행되면 원본과 동일한 파일을 생성합니다.
압축 해제 후 생성된 파일이 실행되면 원본과 동일한 파일을 생성합니다.
C:WINDOWSsystem32[랜덤파일명].exe
아래와 같이 레지스트리값을 등록하며, 시스템 시작시 실행될 수 있도록 지속적으로 등록합니다.
[HKCUSoftwareMicrosoftInternet ExplorerMain]
“TabProcGrowth”=”0x0”
[HKCUSoftwareMicrosoftWindowsCurrentVersionAppletsSysTray]
“Services”=”0x1F”
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
“Userinit”=”C:WINDOWSsystem32userinit.exe,[랜덤파일명].exe“
…
“TabProcGrowth”=”0x0”
[HKCUSoftwareMicrosoftWindowsCurrentVersionAppletsSysTray]
“Services”=”0x1F”
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
“Userinit”=”C:WINDOWSsystem32userinit.exe,[랜덤파일명].exe“
…
그리고 다수의 온라인 게임과 메신저 계정을 유출시킵니다.
3. 진단 현황
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.
Win-Trojan/Agent.55296.JV (진단/치료버전:2010.12.24.00)
Categories:악성코드 정보