메신져를 통해 전파되는 악성코드 주의 Posted By ASEC , 2011년 2월 22일 1. 서론 최근 특정 메신져를 통해 악성코드가 유포되는 사례가 발견되어 해당 내용에 대해서 공유 합니다.2. 악성코드 전파 방법 해당 악성코드는 메신져를 통해 전파되며 아래와 같은 메세지를 통해 악성코드를 다운로드 하는 URL을 전송하게 됩니다. [그림 1] 메신저를 통해 전파되는 메세지 해당 URL에서 파일을 다운로드 하면 DSC002502011.JPG.scr 파일을 다운로드 하며 아래 그림처럼 사진파일로 위장하고 있어 사용자들의 실행을 유도하게 됩니다. [그림 2] JPG 파일로 위장한 악성코드 3. 악성코드 분석 정보 해당 악성코드가 실행되면 아래와 같은 증상이 발생하게 됩니다. 1) 파일 다운로드아래 URL에서 특정 파일을 다운로드 하게 됩니다. http://bis******icat.com/kbn.exe 다운로드 된 파일은 %사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe로 저장됩니다.2) 레지스트리 등록아래와 같이 레지스트리 값을 등록하여 자동실행이 되도록 설정하게 됩니다. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Microsoft(R) Service Update=”%사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe” 3) 원격 명령 수행winrsvn.exe 파일은 는 Bot기능을 가지고 있어 IRC (216.157.22.141:5500)으로 접속하여 방장(OP)로부터 명령을 받아 명령을 수행하게…