국산 프리웨어로 위장한 트위터 관련 악성코드

2010년 7월 30일 오전 ASEC에서는 국내에서 제작된 프리웨어 프로그램을 이용하여 악성코드 감염을 시도하는 사례가 발견되었다.

번 국내에서 제작된 프리웨어 프로그램에서 발견된 악성코드 감염 사례는
2010년 5월 해외에서 발견되었던 소셜 네트워크 서비스(SNS, Social Network Service)를 이용해 악성코드에 감염된 시스템들을 조정하는 사례와 유사한 형태를 보이고 있다.

2010년 7월 30일 발견된 국내에서 제작된 프리웨어 프로그램은 아래 이미지와 같이 모기퇴치 프로그램이라고 명시하고 있으나 실제 해당 프로그램이 실행되면 윈도우 시스템 폴더(C:windowssystem32)에 ckass.dll (101,376 바이트)라는 DLL 파일을 생성한다.


생성된 DLL 파일은 아래 이미지와 같은 특정 트위터(Twitter) 계정의 페이지로 접속을 시도하며 성공적으로 접속이 이루어지면 해당 트위터 계정에서 생성한 트윗 메시지를 통해 다른 시스템에서 특정 파일을 다운로드 한 후 실행하도록 되어 있다.


그러나 ASEC에서 테스트할 당시에는 해당 시스템에는 파일이 존재하지 않고 있으며 2010년 5월 이후로 다른 특정 트윗 명령들이 존재하지 않는 것으로 미루어 해당 트위터 계정은 더 이상 사용되지 않는 것으로 추정된다.

이번 국산 프리웨어로 위장해 감염을 시도하고 트위터를 통해 조정 명령을 수행한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Dropper/Twitbot.494080
Win-Trojan/Agent.101376.DG

이러한 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.


Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments