미투데이

국내 SNS 미투데이를 이용하는 악성코드 종합 분석

1. 개요 최근 국내 SNS인 '미투데이'를 이용한 악성코드(이하 미투데이 악성코드)가 발견되어, 관련 샘플 분석 정보와 V3의 엔진 대응 현황에 대해 공유하고자 해당 글을 게시합니다.관련 기사 : “토종 SNS '미투데이' 이용한 악성코드 유포 발견 http://www.itdaily.kr/news/articleView.html?idxno=23977 2. 악성코드 전파 방법 미투데이 악성코드는 주로 국내 인터넷파일공유 사이트들(ex. 짱파일 등)을 통해 베포되며, 정상프로그램(utility 등)또는 mp3 음악파일에 악성코드 제작자가 만든 agent프로그램을 결합하여 정상프로그램과 함께 악성코드를 실행하는 수법을 사용하고 있습니다. 이와 같은 성질로 비추어 볼 때, 미투데이 악성코드는 향후에 다양한 변종이 생길 수 있다는 것을 예측할 수 있습니다. [그림 1] 미투데이 악성코드와 결합된 프로그램의 일부 3. 악성코드 분석 요약 Agent 에는 악성코드 제작자가 개설한 것으로 보이는 me2day 와 twitter 계정에 대한 URL 정보가 하드코딩되어 있습니다. agent는 이 하드코딩된 URL 을 일정 주기를 갖고 접속하여 명령(Command) 정보를 받아 수행하게 됩니다….