1. 개 요


최근 성인 동영상 파일로 위장한 악성파일이 웹 하드 사이트 등을 통해서 지속적으로 유포가 이루어지고 있다.
지난번에도 블로그를 통해 공개한 바 있듯이 유포처가 주로 국내 웹 하드 사이트이고, 해당 악성파일이 자극적인 내용의 파일명으로 위장되어 있어 일반 사용자들의 경우 인터넷을 통해 파일을 다운로드할때 각별한 주의가 필요한 상태이다. 특히, 이러한 성인 동영상 위장형 악성파일의 경우 파일 크기가 일반적인 동영상 파일 크기 수준이며, 확장명이 .exe 형태이나 실행 시 .avi 등의 동영상 파일을 재생하는 것이 특징이므로 이점 또한 참고할 수 있도록 하자.

  

[주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다.

http://erteam.nprotect.com/254

2. 유포 경로 및 감염 증상

이번에 발견된 해당 악성파일 또한, 이전과 마찬가지로 국내 웹 하드 사이트를 중심으로 유포가 이루어졌으며, 실제 유포중이었던 일부 웹 하드 사이트에서는 관련 게시글이 삭제된 상태이다.


해당 악성파일은 위 그림과 같이 동영상 파일과 관련된 아이콘으로 위장하고 있으며, 일단 감염되면 "특정 외부 사이트와 지속적인 통신을 시도하는 등 Backdoor 및 Bot 형태의 감염 증상", "특정 웹 사이트로의 자동 접속" 등 두가지 형태의 감염 증상을 보이고 있다. 다만, 특정 웹 사이트로의 자동 접속을 유발하는 경우에는 성인 동영상에 대한 재생이 이루어지지 않는다.
  

◈ 사례1

사례1은 외부 사이트와의 지속적인 통신을 시도하는 악성파일의 경우이며, 추가적인 악성파일의 생성 및 루트킷, 악성 서비스 등록 등의 감염 증상을 유발한다.

아래는 감염 시 생성되는 추가적인 악성파일에 대한 설명이다.

※ 생성파일

- (사용자 임시 폴더)\~__UNINST.EXE (100,840,764 바이트, 숙주파일의 복사본)
- (사용자 임시 폴더)\~pmThis.tmp (100,840,764 바이트, 숙주파일의 복사본)
- (사용자 임시 폴더)\(성인) 여대생꼬셔모텔에서.avi (정상적인 동영상 파일)
- (사용자 임시 폴더)\Server.exe (40,960 바이트, 서비스 등록)
- (윈도우 시스템 폴더)\drivers\GTHOOK.sys (7,168 바이트, 루트킷 기능 : server.exe 숨김/보호기능)

▶ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자계정)\Local Settings\Temp"를 말한다.
▶ (윈도우 시스템 폴더)란 일반적으로 "C:\WINDOWS\system32"를 말한다.

해당 악성파일은 감염 시 자신의 복사본(~__UNINST.EXE, ~pmThis.tmp)을 생성하게 되며, 이렇게 복사된 파일들을 해당 위치에서 그대로 실행하게 된다. 그후 실행된 악성파일 내부에 포함되어 있는 성인 동영상 파일을 "사용자 임시 폴더"에 추가적으로 생성한 후 해당 동영상 파일을 재생한다.

 


위 그림은 내부에 포함된 동영상 파일을 실행하기 위한 일부 구문이며, 아래의 그림과 같이 동영상 파일이 이상없이 재생 되는 것을 확인할 수 있다.


위와 같은 동영상 파일이 재생됨과 동시에 해당 악성파일은 "server.exe" 라는 추가적인 악성파일을 생성 및 실행하게 된다. 아래의 그림은 동영상 파일과 server.exe 악성파일에 대한 실행 분기를 나타내는 일부 구문이다.


server.exe 는 실행되면 "GHOOK.sys"와 같은 악성파일을 추가적으로 생성하게 되며, 자신을 서비스로 등록 한다.


일반적으로 등록된 서비스들이 매우 많기 때문에 악성코드가 등록한 서비스를 육안상으로 구별하기는 어렵다. 더군다나 해당 악성파일은 위 그림과 같이 서비스에 대한 설명 부분을 등록해 정상적인 서비스 값으로 위장하고 있어 일반 사용자의 경우 사실상 악성 여부를 판별하기는 힘들다고 볼 수 있다.


위 그림은 server.exe 악성파일이 지속적으로 외부 사이트와 통신을 시도하는 TCP 정보이며, 이를 통해 Backdoor 기능 수행 및 상황에 따라 Bot 기능을 수행할 수 있을 것으로 추정된다. 아래의 그림은 접속을 시도하는 IP에 대한 위치 추적 결과이다.


또한, server.exe 악성파일에 의해 생성되는 "GHOOK.sys"는 루트킷 기능을 수행하며, UNICODE 값을 파싱 후 조건에 따라 "윈도우 시스템 폴더"에 존재하는 server.exe 파일에 대한 프로세스 숨김 기능 및 파일 보호 기능을 수행하게 된다.
  

◈ 사례2

사례2는 특정 웹 사이트에 대한 자동 접속 기능을 수행하는 경우로 해당 악성파일을 실행하게 되면 아래의 그림과 같은 알림 창을 띄우게 된다.


"확인" 버튼을 클릭하게 되면, 아래의 그림과 같은 성인 화상채팅 사이트로 자동 접속하게 된다.


현재까지 위와 같은 해당 사이트 등에서 추가적인 악성파일을 유포하고 있지는 않지만, 언제든지 악의적인 목적에 의해 악성파일 유포를 시도할 수 있기 때문에 위와 같은 사이트 접속 시에는 반드시 주의가 필요하다.

3. 예방 조치 방법

위와 같은 악성파일들의 경우 자극적인 내용을 통해 다운로드 및 실행을 유도하기 때문에 일반 사용자의 경우 쉽게 현혹되어 감염상황을 유발할 수 있다. 또한, 실행 시 정상적으로 성인 동영상을 재생해주며, 현재 운영중인 웹 하드 사이트에서 배포되기 때문에 널리 알려진 웹 하드 사이트에 해당 악성파일이 업로드되면 수많은 사용자들의 PC가 감염될 수 있다.

때문에 이와 같은 악성파일로부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 가장 널리 사용되고 있는 SNS(Social Network Service)서비스의 채팅창을 통해 악성파일에 대한 유포 시도가 발견되어 사용자들의 각별한 주의가 요망되고 있다. 악성파일 유포 방법으로는 채팅창에 특정 파일의 다운로드가 가능한 URL을 뿌리는 등 사회공학적 기법이 사용되었으며, 해당 URL은 단축 변환 주소로 이루어져 있어 일반 사용자들의 경우 쉽게 현혹되어 클릭을 통한 감염이 이루어질 수 있다.
  

2. 유포 경로 및 감염 증상

현재 해당 악성파일은 아래의 그림과 같은 페이스북의 체팅창을 통해 주로 유포가 이루어지고 있으며, 유포되는 악성파일에 감염될 경우 해당 PC에서 특정 SNS 서비스를 이용하게 되면 친구로 등록된 지인들에게 무작위로 악성 URL을 채팅형태로 배포하게 된다.

잉카인터넷은 최근 국내외로 전파된 다수의 변형을 확보하여 긴급 업데이트를 완료한 상태이다.

 


위 그림과 같이 단축주소로 이루어진 악성 URL을 클릭하면 아래의 그림과 같이 악성파일을 다운로드할 수 있게 된다.


다운로드된 ZIP 파일의 압축을 해제 하면 아래의 그림과 같은 악성파일(숙주파일)을 확인할 수 있으며, 해당 악성파일에 감염될 경우 감염 시 생성되는 악성파일의 복사본(C:\WINDOWS\mdm.exe)에 의해 외부 특정 사이트와 지속적인 통신을 시도하는 등 C&C서버에서 추가적으로 악의적인 명령을 받아 수행할 수 있을 것으로 추정되고 있다.

 

※ 생성파일

- C:\WINDOWS\mdm.exe (195,072 바이트)


3. 예방 조치 방법

위와 같은 악성파일은 평소 자주 사용하는 SNS 서비스를 통해 가까운 지인과의 채팅창을 이용하여 유포가 이루어진다는 점에서 감염범위가 상당히 넓어질 수 있다. 또한 일반 사용자들에게는 생소할 수 있는 단축변환 URL을 사용하기 때문에 해당 URL에 대한 악성 유무를 판단하기에 어려움이 있을 수 있다.

또한, 최근 SNS 서비스는 스마트폰을 통해 주로 이용되므로 추후 안드로이드 기반 악성파일의 유포 등에도 악용될 수 있다. 때문에 PC 및 스마트폰의 안전한 사용을 위해서는 반드시 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명

- Worm/W32.Fakefburl.180887
- Worm/W32.Fakefburl.195072
- Worm/W32.Fakefburl.141312




 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect