메신져를 통해 전파되는 악성코드 주의

1. 서론
 최근 특정 메신져를 통해 악성코드가 유포되는 사례가 발견되어 해당 내용에 대해서 공유 합니다.


2. 악성코드 전파 방법
 해당 악성코드는 메신져를 통해 전파되며 아래와 같은 메세지를 통해 악성코드를 다운로드 하는 URL을 전송하게 됩니다.

[그림 1] 메신저를 통해 전파되는 메세지



해당 URL에서 파일을 다운로드 하면 DSC002502011.JPG.scr 파일을 다운로드 하며 아래 그림처럼 사진파일로 위장하고 있어 사용자들의 실행을 유도하게 됩니다.

[그림 2] JPG 파일로 위장한 악성코드




3. 악성코드 분석 정보
 해당 악성코드가 실행되면 아래와 같은 증상이 발생하게 됩니다.

1) 파일 다운로드

아래 URL에서 특정 파일을 다운로드 하게 됩니다.



다운로드 된 파일은 %사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe로 저장됩니다.


2) 레지스트리 등록
아래와 같이 레지스트리 값을 등록하여 자동실행이 되도록 설정하게 됩니다.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft(R) Service Update=”%사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe”



3) 원격 명령 수행
winrsvn.exe 파일은 는 Bot기능을 가지고 있어 IRC (216.157.22.141:5500)으로 접속하여 방장(OP)로부터 명령을 받아 명령을 수행하게 됩니다.

추가로 이 악성코드는 윈도우 시스템 언어 설정을 읽어 해당 국가 언어에 맞는 메세지와 악성코드 유포 링크를

메신저를 통해 전달하게 됩니다. 따라서 시스템 언어 설정이 한국어로 되어 있다면 “이 사진을 봐” 라는 메세지가 발송되며 그 외 다른 국가로 설정된 경우 해당 국가에 맞는 언어로 하여 발송되게 됩니다.

[전송되는 메시지]
이 사진을 봐
wie findest du das foto?
hab ich dir das foto schon gezeigt?
das foto solltest du wirklich sehen
schau mal das foto an
unglaublich welche fotos leute von sich machen schau mal
so will ich nicht aussehen wenn ich alt bin
kennst du die person aufm foto?
kennst du das foto schon?
die sieht aus wie angela merkel
tell me what you think of this picture i edited
this is the funniest photo ever!
tell me what you think of this photo
i don't think i will ever sleep again after seeing this photo
i cant believe i still have this picture of you from last winter
should i make this my default picture?
my parents are going to kill me if they find this picture

[전송되는 URL]
http://www.sta*******my.be/image.php?img=DSC002502011.JPG






















4) Autorun 악성코드 생성
Autorun 기능을 이용하여 악성코드를 전파하기 위해 Autorun.inf와 winrsdrv32.exe로 winrsvn.exe 파일의 복사본을 이동형 디스크 매체에 생성합니다.



4. V3 대응 현황
 현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.

Win-Trojan/Downloader.38912.DG
Win-Trojan/Downloader.18944.MJ




0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments