본문 바로가기
악성코드 정보

페이스북 채팅 메시지로 유포되는 악성코드

by AhnLab_ASEC 2011. 10. 27.

2010년 11월 18일 국내 페이스북(Facebook) 사용자들 사이에서 채팅(Chatting) 메시지로 악성코드가 유포되고 있다는 사실이 위키트리(Wikitree)의 "페북 바이러스, 이번엔 채팅창으로 침투"를 통해 알려지게 되었다. 그리고 이와 함께 해외 보안 업체인 트렌드마이크로(TrendMicro) 역시 이와 유사한 악성코드의 유포를 블로그 "“Photos” via Instant Messengers, Facebook Lead to Malware"를 통해 공개하였다.

이번 페이스북 사용자들의 채팅 메시지로 유포된 악성코드는
2010년 5월 발견된 인스터트 메신저(Instant Messenger)를 이용해 악성코드를 다운로드 하는 웹 페이지 링크를 채팅 메시지로 전송하였던 악성코드
와 유사한 형태이다.

그러나 페이스북 사용자들 사이의 채팅 메시지로 악성코드를 다운로드 하는 웹 페이지 링크를 전송 한 사례는 이번이 처음이다. 해당 악성코드에 감염된 페이스북 사용자는 위키트리에서 공개한 아래와 같은 이미지 형태로 페이스북의 친구 리스트에 등록되어 있는 다른 사용자들에게 동일한 메시지가 전송된다.



이번에 발견된 페이스북 채팅 메시지로 유포되었던 악성코드는 페이스북 외에도 야후(Yahoo) 메신저를 통해서도 전파되며 전체적인 유포 구조를 도식화 한 것이 아래 이미지와 동일하다.



해당 악성코드가 시스템에 실행되면 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)를 실행 시켜 아래 마이스페이스(MySpace) 특정 사용자의 웹 페이지로 연결하게 된다.


그리고 윈도우 폴더(C:\WINDOWS)에 자신의 복사본인 nvsvc32.exe (61,440 바이트)를 생성한다. 그리고 다음 레지스트리(Registry) 키를 생성하여 윈도우(Windows) 시스템이 재부팅 하더라도 자동 실행 되도록 한다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
NVIDIA driver monitor = "C:\WINDOWS\nvsvc32.exe"

그리고 다음 레지스트리 키를 생성하여 인터넷 익스플로러의 시작 페이지를 특정 웹 사이트로 고정 시킨다.

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
"http://go******ure.com"

이 외에 윈도우 시스템의 특정 레지스트리 키 값을 조작하여 윈도우 내장 방화벽을 우회 할 수 있도록 한다.

감염된 시스템에서 마이크로소프트에서 제공하는 무료 백신인 마이크로소프트 시큐리티 에센셜(Microsoft Security Essentials)이 동작 중일 경우에는 해당 소프트웨어의 서비스를 강제로 종료 시키고 보안 패치를 설치 할 수 있는윈도우 업데이트(Windows Update) 서비스를 강제로 종료 시킨다.

그리고 아래 이미지와 같이 백그라운드로 페이스북 웹 사이트로 접속하여 로그인을 시도하게 된다.


페이스북으로 로그인 페이지로 접속을 시도하여 해당 악성코드가 로그인이 성공 할 수 있는 것은 아래 이미지와 같이 감염된 시스템의 사용자가 "로그인 상태 유지"에 체크한 경우이다. 이는 웹 브라우저를 종료하더라도 로그인이 유지되어 다음 로그인시에 사용자 계정과 암호를 확인하지 않기 때문에 가능하다.


페이스북에 정상적으로 로그인 하게 되면 채팅 메시지를 이용하여 등록되어 있는 친구 리스트의 모든 사용자들에게 아래와 같은 웹 페이지 링크를 전송하게 된다.

.m.e Foto :D http://web********.com/photo.php?=[임의의 숫자]
:D http://web********.com/photo.php?=[임의의 숫자]

채팅 메시지로 전송되는 웹 페이지 링크를 클릭하게 될 경우에는 미국에 위치한 특정 시스템에서 아래 이미지와 같이 다른 악성코드가 다운로드 된다.


페이스북의 채팅 메시지를 통해 악성코드를 다운로드 하도록 유도하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 그러나 해당 악성코드 변형들이 다수 발견되고 있음으로 각별한 주의가 필요하다.

Win-Trojan/Seint.61440.AA
Win-Trojan/Ircbrute.61440.C
Win-Trojan/Seint.69632.V

이번 페이스북 채팅 메시지로 전파되는 악성코드가 발견된 점으로 미루어 향후 페이스북으로 더욱 다양한 악성코드가 또 다른 전파 경로로 사용할 것으로 예측된다.

그러므로 페이스북 로그인 웹 페이지에서 "로그인 상태 유지" 기능의 체크 마크를 해제하여 자동 로그인 기능을 비활성화 하도록 한다. 그리고 페이스북 채팅 메시지로 알수 없는 웹 사이트 링크를 전송 받을 경우에는 함부로 클릭하지 않도록 주의하도록 하는 것이 중요하다.

댓글0