2010년 11월 18일 국내 페이스북(Facebook) 사용자들 사이에서 채팅(Chatting) 메시지로 악성코드가 유포되고 있다는 사실이 위키트리(Wikitree)의 “페북 바이러스, 이번엔 채팅창으로 침투“를 통해 알려지게 되었다. 그리고 이와 함께 해외 보안 업체인 트렌드마이크로(TrendMicro) 역시 이와 유사한 악성코드의 유포를 블로그 ““Photos” via Instant Messengers, Facebook Lead to Malware“를 통해 공개하였다.
이번 페이스북 사용자들의 채팅 메시지로 유포된 악성코드는 2010년 5월 발견된 인스터트 메신저(Instant Messenger)를 이용해 악성코드를 다운로드 하는 웹 페이지 링크를 채팅 메시지로 전송하였던 악성코드와 유사한 형태이다.
그러나 페이스북 사용자들 사이의 채팅 메시지로 악성코드를 다운로드 하는 웹 페이지 링크를 전송 한 사례는 이번이 처음이다. 해당 악성코드에 감염된 페이스북 사용자는 위키트리에서 공개한 아래와 같은 이미지 형태로 페이스북의 친구 리스트에 등록되어 있는 다른 사용자들에게 동일한 메시지가 전송된다.
이번에 발견된 페이스북 채팅 메시지로 유포되었던 악성코드는 페이스북 외에도 야후(Yahoo) 메신저를 통해서도 전파되며 전체적인 유포 구조를 도식화 한 것이 아래 이미지와 동일하다.
해당 악성코드가 시스템에 실행되면 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)를 실행 시켜 아래 마이스페이스(MySpace) 특정 사용자의 웹 페이지로 연결하게 된다.
그리고 윈도우 폴더(C:WINDOWS)에 자신의 복사본인 nvsvc32.exe (61,440 바이트)를 생성한다. 그리고 다음 레지스트리(Registry) 키를 생성하여 윈도우(Windows) 시스템이 재부팅 하더라도 자동 실행 되도록 한다.
Categories:악성코드 정보