1. 개 요
하기의 설명을 참고하여 어떠한 악성파일이 유포되고 있는지 알아보도록 하자.
2. 사이트에 삽입된 악성파일 및 감염 증상
하기와 같은 사이트에 악성파일이 삽입되어 있으며, 이로인해 삽입된 악성파일에 대한 추가적인 유포 등이 가능할 것으로 추정되고 있다.
2-1 변조된 사이트 및 삽입된 악성파일 정보
■ http://www.(생략).co.kr/(생략)/USB_Vlad.exe
■ http://www.(생략).co.kr/(생략)/file/pds.exe
상기의 URL을 통해 다운로드되는 파일들은 아래의 그림과 같다.
2-2 다운로드된 악성파일에 대한 감염 증상
■ USB_Vlad.exe (32,256 바이트)
▶ 해당 파일에 감염될 경우 자신의 복사본을 숨김 속성으로 하기의 폴더에 생성하게 된다.
- (윈도우 시스템 폴더)\raidhost.exe (32,256 바이트)
▶ 하기와 같은 레지스트리 값 등록을 통해 윈도우 재부팅 시 악성파일을 함께 실행할 수 있도록 한다.
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : raidhost
- 값 데이터 : (윈도우 시스템 폴더)\raidhost.exe
▶ 하기와 같은 특정 사이트(IRC 서버)에 접속 및 포트를 오픈하여 백도어나 프록시 서버 등으로 이용될 수 있는 것으로 추정되고 있다.
- http://(생략).(생략).com:1033
※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.
- (윈도우 시스템 폴더)\raidhost.exe (32,256 바이트)
▶ 하기와 같은 레지스트리 값 등록을 통해 윈도우 재부팅 시 악성파일을 함께 실행할 수 있도록 한다.
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : raidhost
- 값 데이터 : (윈도우 시스템 폴더)\raidhost.exe
▶ 하기와 같은 특정 사이트(IRC 서버)에 접속 및 포트를 오픈하여 백도어나 프록시 서버 등으로 이용될 수 있는 것으로 추정되고 있다.
- http://(생략).(생략).com:1033
※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.
■ pds.exe (59,392 바이트)
▶ 해당 파일에 감염될 경우 자신의 복사본을 하기의 폴더에 생성하게 된다.
- (윈도우 시스템 폴더)\(5자리 영문자의 임의의 파일명).exe (59,392 바이트)
▶ 하기와 같은 레지스트리 값 등록을 통해 윈도우 재부팅 시 userinit.exe와 함께 실행될 수 있도록 한다.
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
- 값 이름 : Userinit
- 값 데이터 : (윈도우 시스템 폴더)\userinit.exe, (5자리 영문자의 임의의 파일명).exe
▶ 해당 악성파일은 특정 온라인 게임 등의 계정 정보를 수집하여 특정 사이트로의 접속을 통해 수집된 정보를 전송하는 것으로 추정되고 있다.
- http://180.(생략).(생략).180:1035
※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.
- (윈도우 시스템 폴더)\(5자리 영문자의 임의의 파일명).exe (59,392 바이트)
▶ 하기와 같은 레지스트리 값 등록을 통해 윈도우 재부팅 시 userinit.exe와 함께 실행될 수 있도록 한다.
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
- 값 이름 : Userinit
- 값 데이터 : (윈도우 시스템 폴더)\userinit.exe, (5자리 영문자의 임의의 파일명).exe
▶ 해당 악성파일은 특정 온라인 게임 등의 계정 정보를 수집하여 특정 사이트로의 접속을 통해 수집된 정보를 전송하는 것으로 추정되고 있다.
- http://180.(생략).(생략).180:1035
※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.
3. 예방 조치 방법
특정 웹 사이트가 변조되어 악성파일이 삽입된 경우 스크립트를 이용해 취약점을 통한 악성파일의 유포가 이루어지는 경우가 대다수이다. 이번에 발견된 웹 사이트 변조의 경우 취약점을 이용한 악성파일 유포와 관련된 사항은 발견되지 않았다. 다만, 다른 웹 사이트가 변조되어 iframe exploit 등의 취약점을 이용해 해당 악성파일에 대한 유포가 이루어질 가능성이 있기 때문에 사용자들은 사용 중인 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지해 사용하는 것이 안전을 위한 최선의 방법이 될 수 있다.
※ nProtect Anti-Virus 제품군에서는 이번에 발견된 악성파일에 대해 하기와 같이 진단/치료 기능을 제공하고 있다.
'최신 보안 동향' 카테고리의 다른 글
| 구글 단축주소를 이용해 유포중인 트위터 웜 해외 확산 주의 (0) | 2011.01.21 |
|---|---|
| 클라우드 기반의 Anti-Virus 동작을 방해하는 악성파일 출현 보고! (0) | 2011.01.19 |
| 개인 정보 유출을 목적으로 하는 악성파일의 진화!! (1) | 2011.01.17 |
| 페이스북 서비스 종료에 대한 허위 정보 전파 해외 보고 (0) | 2011.01.10 |
| ZeuS 변종 Kneber 봇넷의 백악관 사칭 이메일을 통한 유포 주의! (0) | 2011.01.07 |