1. 개 요
다운로드 되어진 해당 악성파일은 SFX 실행압축 구조로 되어져 있으며, 설치 과정에서 사용자 확인 어렵도록 추가 설치 구성요소(제휴 프로그램)에 대하여 간략하게 명시되어진 상태이다.
위와 같은 설치 단계를 살펴보면 국내 특정 도메인 서버에 접속하여 아래의 그림과 같이 명시되어진 설정에 따라 기본적인 설치가 진행되도록 설계되어져 있다.
압축해제 이후 다음과 같은 경로에 2개의 파일을 생성하게 된다. 그러나 설치에 따른 정상적인 보안 프로그램 동작은 발생하지 않으며 국내 다수의 제휴 사이트 바로가기 아이콘이 바탕화면에 생성되어지게 된다.
※ 생성파일 정보
다운로드 되어진 temp.zip(압축파일) 파일 내부에는 "알약2.0.jpg" 그림 파일과 함께 "알약 V2.0 공개용 Beta" 버전에 대한 기능 설명 및 다운로드 경로 등의 내용이 포함되어져 있다.
※ 레지스트리 등록 정보 (윈도우 시작시 자동실행)
3. 예방 조치 방법
위와 같은 악성프로그램은 기업의 광고성과 수익성을 목적으로 제작 유포되어지고 있으며, 이를 악용하여 인터넷 사용자들의 금전적 또는 정신적 필요를 유발시킬수 있음으로 다음과 같은 보안 관리 수칙을 습관화 하도록 하자.
국내 보안업체 제품을 위장하고 있으며 제휴사 광고 목적으로 제작되어진 악성 프로그램이 국내 포털 사이트 등이 운영하는 블로그 및 카페 등의 게시글을 통하여 유포되어지는 사례가 다수 확인되어 지고 있으며, 이를 이용하는 인터넷 사용자들의 각별한 주의와 관심이 요구되어지고 있다.
2. 감염 방식 및 증상
현재 이와같은 악성 프로그램 설치 방식은 국내의 특정 포털 사이트 등에서 운영하는 카페 및 블로그에 게시되어진 덧글의 단축 URL 접근을 통하여 설치가 가능 하도록 되어져 있다. 이러한 악성파일 설치방식은 소수가 아닌 불특정 다수의 접근이 용이한 포털 사이트 등과 같은 블로그, 카페 등을 이용하였다는 점에서 앞으로 지속적이고 다양한 유포 방식의 변화를 가져올 것으로 예상되어 진다.
특히, 이번에 확인 되어진 악성 프로그램은 국내 보안제품을 다운로드 받을수 있도록 위장 되어져 있으며, 게시되어진 다운로드 링크를 통하여 설치를 유도하고 있음을 확인할 수 있다.
다운로드 되어진 해당 악성파일은 SFX 실행압축 구조로 되어져 있으며, 설치 과정에서 사용자 확인 어렵도록 추가 설치 구성요소(제휴 프로그램)에 대하여 간략하게 명시되어진 상태이다.
위와 같은 설치 단계를 살펴보면 국내 특정 도메인 서버에 접속하여 아래의 그림과 같이 명시되어진 설정에 따라 기본적인 설치가 진행되도록 설계되어져 있다.
압축해제 이후 다음과 같은 경로에 2개의 파일을 생성하게 된다. 그러나 설치에 따른 정상적인 보안 프로그램 동작은 발생하지 않으며 국내 다수의 제휴 사이트 바로가기 아이콘이 바탕화면에 생성되어지게 된다.
※ 생성파일 정보
C:\Documents and Settings\(사용자 계정)\바탕 화면\temp.zip
C:\Documents and Settings\(사용자 계정)\My Documents\알약2.0\알약2.0.jpg
C:\Documents and Settings\(사용자 계정)\My Documents\알약2.0\알약2.0.jpg
다운로드 되어진 temp.zip(압축파일) 파일 내부에는 "알약2.0.jpg" 그림 파일과 함께 "알약 V2.0 공개용 Beta" 버전에 대한 기능 설명 및 다운로드 경로 등의 내용이 포함되어져 있다.
※ 레지스트리 등록 정보 (윈도우 시작시 자동실행)
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : SmartToolUDF
- 값 데이터 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Microsoft\SmartTool\SmartToolUDF.exe
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : AntiDefendMain
- 값 데이터 : C:\Program Files\AntiDefend\AntiDefend.exe /Boot
3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : PrivacyView
- 값 데이터 : C:\Program Files\PrivacyView\PrivacyView.exe /run1
4. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : sevenlink
- 값 데이터 : C:\Program Files\Sevenlink\sevenlink.exe
5. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : SmartTool
- 값 데이터 : C:\Program Files\SmartTool\SmartTool.exe
6. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : SearchNQ
- 값 데이터 : C:\Program Files\SearchNQ\SearchNQ.exe
- 값 이름 : SmartToolUDF
- 값 데이터 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Microsoft\SmartTool\SmartToolUDF.exe
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : AntiDefendMain
- 값 데이터 : C:\Program Files\AntiDefend\AntiDefend.exe /Boot
3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : PrivacyView
- 값 데이터 : C:\Program Files\PrivacyView\PrivacyView.exe /run1
4. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : sevenlink
- 값 데이터 : C:\Program Files\Sevenlink\sevenlink.exe
5. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : SmartTool
- 값 데이터 : C:\Program Files\SmartTool\SmartTool.exe
6. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- 값 이름 : SearchNQ
- 값 데이터 : C:\Program Files\SearchNQ\SearchNQ.exe
3. 예방 조치 방법
위와 같은 악성프로그램은 기업의 광고성과 수익성을 목적으로 제작 유포되어지고 있으며, 이를 악용하여 인터넷 사용자들의 금전적 또는 정신적 필요를 유발시킬수 있음으로 다음과 같은 보안 관리 수칙을 습관화 하도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 블로그 및 게시판에 등록되어진 단축 URL은 웹 접근의 안전성이 확보되지 않은 상태임으로 되도록 접근을 삼가하도록 한다.
4. 상용 어플리케이션 제품 설치에 대해서는 기업에서 제공하는 홈페이지를 통하여 직접 다운로드 받은 후 설치하는 습관을 기르도록 한다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 블로그 및 게시판에 등록되어진 단축 URL은 웹 접근의 안전성이 확보되지 않은 상태임으로 되도록 접근을 삼가하도록 한다.
4. 상용 어플리케이션 제품 설치에 대해서는 기업에서 제공하는 홈페이지를 통하여 직접 다운로드 받은 후 설치하는 습관을 기르도록 한다.
※ nProtect Anti-Virus/Spyware 3.0 진단 화면
- Trojan-Clicker/W32.Agent.802816.E
'최신 보안 동향' 카테고리의 다른 글
| [주의]해외 호텔 예약 관련 악성 이메일 유포 (0) | 2011.08.01 |
|---|---|
| [주의]신용카드 허위 정지 내용으로 전파 중인 악성 이메일 (0) | 2011.07.26 |
| [주의]이메일 형태로 위장한 악성파일 유포 기승 (0) | 2011.05.31 |
| [주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견 (4) | 2011.05.25 |
| v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요 (0) | 2011.05.17 |