1. 개 요
2. 유포 및 감염 과정
아래의 그림과 같이 해당 이메일 내부에는 "Your version of Flash Player is out of date. Please download this update." 라는 내용의 이미지가 포함되어져 있으며, 사용자가 해당 이미지를 클릭하게 될 경우 실제 악성파일이 다운로드 되어진다.
또한, 다운로드 되어진 해당 악성 파일은 Adobe Flash Player의 정상 설치 파일인 것처럼 파일명이 교묘하게 위장되어진 상태이다.
3. 감염 증상
다운로드된 install_flash_player.exe 파일이 실행되면 아래와 같은 경로에 특정 파일을 생성하게 된다.
또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염, 윈도우 방화벽 우회 등의 증상을 유발한다.
4. 예방 조치 방법
신년 인사와 같은 메시지가 포함되어진 이메일에 첨부되어진 파일이나, 특정 URL 주소가 포함되어진 링크 등이 있을 경우 각별한 주의가 필요하다. 이번에 보고된 악성파일은 nProtect Anti-Virus 제품군에서 진단 치료 기능을 제공하고 있으며, 잉카인터넷 대응팀에서는 지속적으로 연말 연시를 겨냥한 보안위협으로 부터 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
[New Year themed Malicious Email on teh Prowl]
출처 : http://community.websense.com/blogs/securitylabs/archive/2010/12/30/new-year-themed-malicious-emails-in-the-prowl.aspx
출처 : http://community.websense.com/blogs/securitylabs/archive/2010/12/30/new-year-themed-malicious-emails-in-the-prowl.aspx
2. 유포 및 감염 과정
아래의 그림과 같이 해당 이메일 내부에는 "Your version of Flash Player is out of date. Please download this update." 라는 내용의 이미지가 포함되어져 있으며, 사용자가 해당 이미지를 클릭하게 될 경우 실제 악성파일이 다운로드 되어진다.
또한, 다운로드 되어진 해당 악성 파일은 Adobe Flash Player의 정상 설치 파일인 것처럼 파일명이 교묘하게 위장되어진 상태이다.
3. 감염 증상
다운로드된 install_flash_player.exe 파일이 실행되면 아래와 같은 경로에 특정 파일을 생성하게 된다.
[생성파일]
(사용자 계정 폴더)\C:\Documents and Settings\Administrator\Application Data\Akoqvo\ucogn.exe
[참고사항]
- (사용자 계정 폴더)란 일반적으로 C:\Document and Settings\(사용자 계정)\Application Data 이다.
(사용자 계정 폴더)\C:\Documents and Settings\Administrator\Application Data\Akoqvo\ucogn.exe
[참고사항]
- (사용자 계정 폴더)란 일반적으로 C:\Document and Settings\(사용자 계정)\Application Data 이다.
또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염, 윈도우 방화벽 우회 등의 증상을 유발한다.
◆ 윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : "해당 CLSID 값"
- 값 데이터 : "C:\Documents and Settings\Administrator\Application Data\Akoqvo\ucogn.exe"
◆ 윈도우 방화벽 우회를 위한 레지스트리 값 등록
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List]
- 값 이름 : "(윈도우 파일)\INDOWS\explorer.exe"
- 값 데이터 : "(윈도우 파일)\explorer.exe:*:Enabled:Windows Explorer"
[ 참고사항 ]
- (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : "해당 CLSID 값"
- 값 데이터 : "C:\Documents and Settings\Administrator\Application Data\Akoqvo\ucogn.exe"
◆ 윈도우 방화벽 우회를 위한 레지스트리 값 등록
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List]
- 값 이름 : "(윈도우 파일)\INDOWS\explorer.exe"
- 값 데이터 : "(윈도우 파일)\explorer.exe:*:Enabled:Windows Explorer"
[ 참고사항 ]
- (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다.
4. 예방 조치 방법
신년 인사와 같은 메시지가 포함되어진 이메일에 첨부되어진 파일이나, 특정 URL 주소가 포함되어진 링크 등이 있을 경우 각별한 주의가 필요하다. 이번에 보고된 악성파일은 nProtect Anti-Virus 제품군에서 진단 치료 기능을 제공하고 있으며, 잉카인터넷 대응팀에서는 지속적으로 연말 연시를 겨냥한 보안위협으로 부터 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
'최신 보안 동향' 카테고리의 다른 글
| 악성파일 유포를 위해 Microsoft로 가장한 이메일 해외 유포 주의 (0) | 2011.01.05 |
|---|---|
| 페이스북(Facebook) 통한 스팸기능의 어플리케이션 유포 주의! (0) | 2011.01.04 |
| 크리스마스 관련 내용으로 악성파일을 첨부한 이메일 해외 발견 (1) | 2010.12.23 |
| 트위터(Twitter)를 통한 허위 백신 유포 주의 (0) | 2010.12.17 |
| 올림픽성화를 키워드로 한 존재하지 않는 허위 보안정보 전파 주의 (0) | 2010.12.15 |