메신져를 통해 전파되는 악성코드 주의 Posted By ASEC , 2011년 2월 22일 1. 서론 최근 특정 메신져를 통해 악성코드가 유포되는 사례가 발견되어 해당 내용에 대해서 공유 합니다.2. 악성코드 전파 방법 해당 악성코드는 메신져를 통해 전파되며 아래와 같은 메세지를 통해 악성코드를 다운로드 하는 URL을 전송하게 됩니다. [그림 1] 메신저를 통해 전파되는 메세지 해당 URL에서 파일을 다운로드 하면 DSC002502011.JPG.scr 파일을 다운로드 하며 아래 그림처럼 사진파일로 위장하고 있어 사용자들의 실행을 유도하게 됩니다. [그림 2] JPG 파일로 위장한 악성코드 3. 악성코드 분석 정보 해당 악성코드가 실행되면 아래와 같은 증상이 발생하게 됩니다. 1) 파일 다운로드아래 URL에서 특정 파일을 다운로드 하게 됩니다. http://bis******icat.com/kbn.exe 다운로드 된 파일은 %사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe로 저장됩니다.2) 레지스트리 등록아래와 같이 레지스트리 값을 등록하여 자동실행이 되도록 설정하게 됩니다. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Microsoft(R) Service Update=”%사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe” 3) 원격 명령 수행winrsvn.exe 파일은 는 Bot기능을 가지고 있어 IRC (216.157.22.141:5500)으로 접속하여 방장(OP)로부터 명령을 받아 명령을 수행하게…
네이트온 쪽지를 통해 전파되는 악성코드 Posted By ASEC , 2010년 6월 28일 얼마전에 네이트온을 통해 전파되는 악성코드에 대한 주제로 글을 포스팅 한적이 있습니다. 글 포스팅 이후에도 네이트온 악성코드는 여전히 많이 전파되는 상황입니다.http://core.ahnlab.com/154네이트온을 통해 전파되는 악성코드는 항상 한국시간으로 토, 일요일에 변종이 발생하여 유포되고 있으며 현재 저희 ASEC 대응팀에서는 실시간으로 변종을 확인하여 대응중에 있습니다. 이번주에도 변함없이 새로운 변종이 발견되어 간략한 내용을 정리하여 안내해 드립니다.1. 악성코드 전파 방법아래 그림과 같이 쪽지 혹은 대화창을 통해 URL을 알려주며 접속을 유도 하게 됩니다. 접속을 하게 되면 “파일명.rar” 를 다운로드 하게 됩니다. 이 외에도 URL을 알려주지 않고 직접 파일을 전송하는 경우도 존재합니다. 2. 악성코드 파일의 형태주로 RAR 포맷의 압축 파일로 전파되게 됩니다. 압축을 해제 하면 아래와 같은 아이콘의 파일이 생성됩니다. 해당 파일은 폴더 아이콘으로 위장한 EXE 실행파일 입니다. 따라서 폴더인줄 착각하고 더블클릭을 하게 되면 실행이 되어 악성코드에 감염되게 됩니다.이…