트위터로 조종하는 악성코드 트윗봇 생성기

최근 SNS(Social Network Service)가 전세계적으로 많은 사람들의 관심을 받고 있으며 이와 관련하여 트위터(Twitter), 페이스북(Facebook) 그리고 마이스페이스(MySpace) 등의 관련 웹 사이트들이 애용되고 있다.

러한 SNS 관련한 보안 위협 역시 증가하고 있는 실정이며 2010년 8월 23일경 해외 보안 업체를 통해 새로운 트위터로 조종하는 악성코드인 트윗봇(Twitbot) 형태를 자동으로 생성하는 툴이 발견되었다.

트위터로 조정하는 악성코드의 자동 생성툴이 발견된 것은 이 번이 처음은 아니며 2009년 8월 트위터를 C&C 서버로 이용하여 악성코드를 조정하는 사례가 발견되었으며 2010년 5월에는 트위터를 이용하여 조정하는 악성코드 생성툴이 다수 발견된 사례가 있었다. 그리고 해외 사례이외에도 2010년 7월에는 국내에서 제작된 유틸리티로 위장한 트위터로 조정하는 악성코드가 발견된 사례도 존재한다.

이번에 발견된 트위터를 이용해 조정하는 악성코드 생성기는 아래 이미지와 같으며 가운데 빈 공간에 트위터에서 명령을 내릴 사용자 계정명을 직접 입력하도록만 되어 있다.

위 이미지에서와 같이 트위터 사용자 계정명만 입력을 하고 “Create” 버튼을 클릭하게 되면 Server.exe (32,789 바이트)의 마이크로소프트 비주얼 C#으로 제작된 파일이 생성된다.

생성된 해당 파일은 해당 툴로 악성코드를 제작할 당시에 입력하였던 트위터 계정으로 제작되는 트윗 내용만으로 조정이 가능하나 특이하고 2가지 “Shutdown”과 “Destroy” 만 존재한다.

“Shutdown” 명령을 통해서는 시스템을 강제종료 시킬 수 있으며 “Destroy”는 윈도우 시스템에 존재하는 시스템 관련 중요 파일을 삭제하는 기능을 수행하게 된다.

해당 툴과 생성된 악성코드를 과거에 생성된 트위터로 조정하는 악성코드들과 비교하여 다른 악성코드를 전파하거나 개인 정보 등을 유출하는 코드가 존재하지 않는 것으로 미루어 자기 과시나 장난성으로 해당 툴을 제작한 것으로 추정된다.

이번에 발견된 트위터로 조정하는 악성코드 생성툴로 생성되는 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Twotbot.32789 


다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments