분석 정보/악성코드 분석 정보

YouTube로 위장한 사이트에서 유포 중인 악성파일 발견

TACHYON & ISARC 2011. 5. 11. 16:11

1. 개 요


최근 YouTube로 위장한 사이트에서 자바 애플릿을 이용해 악성파일을 유포한 사실이 발견되어 사용자들의 주의를 요망하고 있다. 세계적으로 널리 알려진 동영상 전문 커뮤니티 등으로 위장할 경우 일반 사용자들은 별다른 의심 없이 클릭할 수 있으며, 동영상 내용이 일반인들의 흥미를 쉽게 불러일으킬 만하다면 그 피해는 더욱 커질 수 있다. 때문에 이번 글을 통해 해당 악성파일을 살펴보고 발생할 수 있는 피해에 미리 대비할 수 있는 시간을 가져볼 수 있도록 하자.

2. 유포 경로 및 감염 증상

아래의 그림과 같은 특정 동영상 전문 커뮤니티로 위장한 사이트뿐만 아니라 일반 사용자들을 현혹하기 쉬운 여러 사이트 등을 통해서도 해당 악성파일을 유포할 수 있다.

위와 같은 사이트로 이동할 경우 자바 애플릿을 이용하는 "(생략)youtube.com/YouTube.jar" 파일을 다운로드 및 실행할 수 있으며, JDK에 대한 설치 및 구성이 완료되어 있는 경우 "YouTube.jar" 파일 내에 포함되어 있는 "YouTube.class" 파일로 인해 추가적인 악성파일 다운로드가 이루어질 수 있다.

※ YouTube.class 내부 코드

※ 생성 파일

  - (사용자 임시 폴더)\10058-1.exe(89,600 바이트)
  - 다운로드된 파일에 대한 파일명 변경 : 10058-1.exe -> privzate.exe

※ 사용자 임시 폴더란, 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.


또한, 위에서 설명한 YouTube 위장 사이트 외에도 아래의 그림처럼 게임 동영상 등 사용자들의 관심을 끌 만한 내용으로 우회하는 방법을 사용해 타 사이트에서도 유포가 가능할 수 있다.

추가적으로 다운로드되는 악성파일(10058-1.exe)은 아래의 그림과 같이 루마니아에 그 서버가 존재하는 것으로 확인되었다.

또한, 추가적으로 다운로드된 악성파일에 감염될 경우 아래의 그림과 같은 특정 사이트에 지속적인 접근 시도를 하며, 경우에 따라 Bot 기능을 수행할 수 있다.

3. 예방 조치 방법

사용자들을 현혹하여 감염을 유발시키는 위와 같은 악성파일의 경우, 현재 악성파일 유포 트랜드에 비춰볼 때 관련된 신종/변종 악성파일의 출현 가능성이 상당히 크다고 볼 수 있다. Anti-Virus 제품의 특성상 신종/변종 악성파일로부터 100% 안전을 보장하기에는 한계점이 있으며, 보다 안전한 PC 사용을 위해서는 아래의 보안 관리 수칙과 함께 사용자 스스로의 관심과 노력이 무엇보다 중요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안 패치 생활화

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지함과 동시에 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 여러 보안 위협에 대비하기 위해 24시간 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.