분석 정보/악성코드 분석 정보

[주의]페이스북 채팅창을 이용한 악성파일 유포 시도

TACHYON & ISARC 2012. 2. 24. 15:23
1. 개 요


최근 가장 널리 사용되고 있는 SNS(Social Network Service)서비스의 채팅창을 통해 악성파일에 대한 유포 시도가 발견되어 사용자들의 각별한 주의가 요망되고 있다. 악성파일 유포 방법으로는 채팅창에 특정 파일의 다운로드가 가능한 URL을 뿌리는 등 사회공학적 기법이 사용되었으며, 해당 URL은 단축 변환 주소로 이루어져 있어 일반 사용자들의 경우 쉽게 현혹되어 클릭을 통한 감염이 이루어질 수 있다.
  

2. 유포 경로 및 감염 증상

현재 해당 악성파일은 아래의 그림과 같은 페이스북의 체팅창을 통해 주로 유포가 이루어지고 있으며, 유포되는 악성파일에 감염될 경우 해당 PC에서 특정 SNS 서비스를 이용하게 되면 친구로 등록된 지인들에게 무작위로 악성 URL을 채팅형태로 배포하게 된다.

잉카인터넷은 최근 국내외로 전파된 다수의 변형을 확보하여 긴급 업데이트를 완료한 상태이다.

 


위 그림과 같이 단축주소로 이루어진 악성 URL을 클릭하면 아래의 그림과 같이 악성파일을 다운로드할 수 있게 된다.


다운로드된 ZIP 파일의 압축을 해제 하면 아래의 그림과 같은 악성파일(숙주파일)을 확인할 수 있으며, 해당 악성파일에 감염될 경우 감염 시 생성되는 악성파일의 복사본(C:\WINDOWS\mdm.exe)에 의해 외부 특정 사이트와 지속적인 통신을 시도하는 등 C&C서버에서 추가적으로 악의적인 명령을 받아 수행할 수 있을 것으로 추정되고 있다.

 

※ 생성파일

- C:\WINDOWS\mdm.exe (195,072 바이트)


3. 예방 조치 방법

위와 같은 악성파일은 평소 자주 사용하는 SNS 서비스를 통해 가까운 지인과의 채팅창을 이용하여 유포가 이루어진다는 점에서 감염범위가 상당히 넓어질 수 있다. 또한 일반 사용자들에게는 생소할 수 있는 단축변환 URL을 사용하기 때문에 해당 URL에 대한 악성 유무를 판단하기에 어려움이 있을 수 있다.

또한, 최근 SNS 서비스는 스마트폰을 통해 주로 이용되므로 추후 안드로이드 기반 악성파일의 유포 등에도 악용될 수 있다. 때문에 PC 및 스마트폰의 안전한 사용을 위해서는 반드시 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명

- Worm/W32.Fakefburl.180887
- Worm/W32.Fakefburl.195072
- Worm/W32.Fakefburl.141312