skype_utility.exe 악성코드 분석 보고서  

 


1. 개요


1.1. 파일정보

 

 파일명

 skype_utility.exe

 파일크기

 45,056 byte

 진단명

 Trojan/W32.Agent.45056.BXY

 악성동작

 스카이프 프로필 변경 / 등록 연락처 대상 스팸 메시지 발송



1.2. 분석환경


 운영체제

 Windows XP SP3 32bit (한글)

 분석도

 PEview, OllyDbg , VB Decompiler


 

 

2. 분석정보

2.1. 수집 경로

본 악성파일은 메일로 수집되었다. 악성파일을 분석한 결과 스카이프(인터넷 음성통화, 메시지 전송 프로그램) 사용자를 대상으로 제작된 것으로 보이지만 복제 및 전파, 은닉 루틴이 발견되지 않아 그 피해 및 파급력은 크지 않을 것으로 보인다.




2.2. 파일 분석

“skype_utility.exe” 또는 스카이프 유틸리티.exe” 파일명으로 접수되었다. 파일명에서 알 수 있듯이 스카이프 메신저 사용자를 대상으로 한 악성파일로, 해당 메신저가 설치 및 실행된 환경에서만 동작한다

유포경로가 특정되어 있지 않기 때문에 본 악성코드 감염 순서를 감염 시나리오를 통해 알아보고자 한다.

 

2.2.1. 감염 시나리오


악성코드 감염 피해자(이하 피해자)는 평소 업무를 위해 스카이프를 자주 사용한다. 어느 날, 피해자는 웹서핑 도중 특정 블로그에서 스카이프 기능을 업그레이드 할 수 있다는 플러그인 skype_utility.exe를 알게되고 이를 다운로드하게 된다.


[그림]감염되기 전 스카이프 화면




다운로드한 플러그인을 실행한 피해자는 스카이프 상에서 아래와 같은 '권한 경고 메시지'를 확인하지만, 다른 정상 플러그인을 실행할 때와 동일한 화면이기에 별다른 의심 없이 엑세스 허용 버튼을 클릭하게 된다.

 

[그림]권한 경고 메시지






하지만 실행 파일은 파일명을 위장한 악성파일이었고, 피해자 본인과 등록 연락처의 프로필이 모두 수정되고, 피해자가 기존에 등록한 모든 연락처에 아래와 같은 스팸 메시지가 자동 전송되는 피해를 입게 된다.


[그림]감염된 스카이프 화면



[그림]감염 후 프로필 변화



[그림]스팸 메시지 내용



2.3. 특이사항

해당 악성파일은 Visual Basic으로 작성된 것으로 작동 구현에 있어 스카이프에서 제공하는 Skype4COM.dll을 이용한다. dll파일은 스카이프가 아닌 어플리케이션에서 스카이프의 기능을 이용할 수 있도록 제공하는 정상 파일이다


위의 악성파일은 정상 파일의 *API를 사용하여 스팸메시지를 발송 하는데, 2.2.1.감염 시나리오에서 보았던 '권한 경고 메시지'에서 액세스 허용버튼을 클릭하면 본 악성파일이 API를 사용할 수 있게 된다.

(*API : Application Programming Interface의 약자, 어플리케이션의 기능을 이용할 수 있도록 해당 어플리케이션에서 제공하는 인터페이스의 일종이다. 예를 들어 홈페이지에 지도를 올리고 싶다면 구글 맵에서 제공하는 API를 이용하여 구현 할 수 있고, 윈도우 OS용 프로그램을 만들고 싶다면 윈도우 API를 사용할 수 있다)


, '권한 경고 메시지'에서 액세스 거부 버튼을 클릭한다면 사용자는 아무런 피해를 입지 않게된다. 또한 자가 복제 및 자동실행 등의 지속적인 악성 동작 유지가 아닌, 실행-메시지전송-종료 의 단순한 루틴을 갖고 있기에 사용자가 직접 악성파일을 실행시키지 않는 한 악성 동작을 수행하지 않는다.

 

 





3. 결론


skype_utility.exe는 사용자가 등록한 연락처로 스팸 메시지를 전송하는 동작과 자신 및 다른 연락처의 프로필을 변경하는 행위를 수행하는 악성 파일이다.


본 악성파일은 잉카인터넷 안티 바이러스/스파이웨어 제품 'nProtect Anti-Virus/Spyware (nProtect AVS)'에서 Trojan/W32.Agent.45056.BXY로 진단 및 치료 가능하다


이처럼 정상 프로세스와 동일한 루틴으로 동작하는 경우에도 악성동작을 수행하는 악성파일이 있기 때문에, 항상 실행파일(.exe)을 실행 하기 전에 백신 검사를 하는 습관이 중요하다.


[그림]진단 및 치료 가능

 

 

 

저작자 표시 비영리 변경 금지
신고
Posted by nProtect
안녕하십니까?
2010년 11월 24일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 7389개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 23개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-24.01

1-1. 다음 1772개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Trojan/W32.Agent.118272.FA
     Trojan/W32.Agent.200704.KY
     Trojan/W32.Agent.66048.IY
     Trojan/W32.Agent.84992.ID
     Trojan/W32.Agent.50704
     Trojan/W32.Agent.181248.CG
     Trojan/W32.Agent.201216.BD
     Trojan/W32.Agent.104960.GG
     Trojan/W32.Agent.84480.HR
     Trojan/W32.Agent.100352.GB

더보기

저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 11월 19일자 두번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 3개 악성코드에 대한 진단/치료가 안티 바이러스에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-19.02

1-1. 다음 3개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

Trojan/W32.Agent.184320.PI
Trojan/W32.Agent.640512.U
Trojan/W32.Agent.84480.HP


1-2. 다음 악성 코드에 대한 진단명이 변경 되었습니다.

1-3. 개의 악성코드에 대한 진단/치료가 BitDefender엔진에 업데이트 되었습니다.


-----------------------------------------------------------------------------
Copyright ⓒ, (주) 잉카인터넷, 2000-2010, All rights reserved.
-----------------------------------------------------------------------------
저작자 표시
신고
Posted by nProtect
TAG trojan
안녕하십니까?
2010년 11월 12일자 두번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 10개 악성코드에 대한 진단/치료가 안티 바이러스에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-12.02

1-1. 다음 10개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Trojan/W32.Agent.13869
     Trojan/W32.Agent.65024.JL
     Trojan/W32.Agent.130560.CS
     Trojan/W32.Agent.8341
     Trojan-PWS/W32.WebGame.198144.N
     Trojan-PWS/W32.WebGame.84480.AV
     Trojan-PWS/W32.WebGame.84992.DY
     Trojan-PWS/W32.WebGame.86016.RD
     Trojan-PWS/W32.WebGame.84992.DZ
     Trojan-PWS/W32.WebGame.197632.L

1-2. 다음 악성 코드에 대한 진단명이 변경 되었습니다.
     
1-3. 개의 악성코드에 대한 진단/치료가 BitDefender엔진에 업데이트 되었습니다.


-----------------------------------------------------------------------------
               Copyright ⓒ, (주) 잉카인터넷, 2000-2010, All rights reserved.
-----------------------------------------------------------------------------
저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 11월 12일자 첫번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 5개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 92개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-12.01

1-1. 다음 5개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.
     Script-JS/W32.Agent.APL
     Script-JS/W32.Agent.APM
     Trojan/W32.Agent.99328.FX
     Trojan/W32.Agent.248320.AZ
     Trojan/W32.Agent_Packed.41280

1-2. 다음 악성 코드에 대한 진단명이 변경 되었습니다.
     
1-3. 0개의 악성코드에 대한 진단/치료가 BitDefender엔진에 업데이트 되었습니다.


안티 스파이웨어 업데이트 안내

2. 안티 스파이웨어 업데이트 버전 : 2010-11-12.01

2-1. 다음 92개의 스파이웨어 및 애드웨어에 대한 진단/치료가 업데이트 되었습니다.

      Adware/NSpack.BE
      Adware/NSpack.N5.C
      Adware/NSpack.N5.D
      Adware/NSpack.N6.D
      Adware/NSpack.N6.E
      Adware/NSpack.N6.F
      Adware/NSpack.N7.D
      Adware/NSpack.N7.E
      Adware/NSpack.N7.F
      Adware/NSpack.N8.A

더보기

저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 11월 03일자 첫번째 업데이트 안내문입니다.

금일 긴급 업데이트에서는 총 2950개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 79개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-11-03.01

1-1. 다음 2950개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1060999
     Backdoor/W32.Agent.1123328.C
     Backdoor/W32.Agent.1176064.C
     Backdoor/W32.Agent.1199616.B
     Backdoor/W32.Agent.1378816
     Backdoor/W32.Agent.1507328.D
     Backdoor/W32.Agent.164352.F
     Backdoor/W32.Agent.1723904
     Backdoor/W32.Agent.1993752
     Backdoor/W32.Agent.233472.AN

더보기

저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 10월 28일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 5766개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 77개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-10-28.01

1-1. 다음 2122개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.1008640
     Backdoor/W32.Agent.1015808.E
     Backdoor/W32.Agent.110592.CC
     Backdoor/W32.Agent.1315328
     Backdoor/W32.Agent.151552.BI
     Backdoor/W32.Agent.1556480
     Backdoor/W32.Agent.157184.AC
     Backdoor/W32.Agent.1622528
     Backdoor/W32.Agent.176128.CI
     Backdoor/W32.Agent.177664.L

더보기


     
저작자 표시
신고
Posted by nProtect
최근 매스컴을 통해 "해킹", "바이러스", "DDoS"등 악성 프로그램으로 인한 피해를 다룬 기사거리를 종종 볼 수 있는데, 과거에 비하면 그 빈도 수가 상당히 많아진 느낌입니다. 그만큼 PC가 우리의 생활에 중요한 역할로써 자리잡고 있으며 악성 프로그램도 더욱 위협적인 존재가 되었다고 볼 수 있겠죠. 과거엔 그저 파일을 감염시키던 단순한 악성 프로그램과는 달리 현대에는 개인정보 유출이나 사이버테러에까지 그 종류 및 공격방법도 다양해지고 있습니다.
이런 악성 프로그램의 위협을 잘 알고 있지만 어떻게 확인할 수 있으며, 또 어떻게 내 PC를 관리해야 할까요?
그래서 오늘은 악성 프로그램으로부터 내 PC를 든든하게 지켜줄 백신프로그램의 대해 다뤄보도록 하겠습니다. "지피지기 백전불태"란 말이 있듯, 백신프로그램의 사용법을 자세히 숙지하고 사용해야 갖은 위협들로부터 내 PC를 안전하게 지켜낼 수 있습니다. 그럼 내 PC를 안전하게 지켜줄 "nProtect Anti-Virus/Spyware 2007" 이하 "nProtect AVS 2007"의 사용법과 옵션 설정방법에 대해 집중적으로 다뤄보도록 하겠습니다. 

먼저 아래의 링크에서 프로그램을 다운로드받아 nProtect AVS 2007을 설치합니다.

▣ nProtect AVS 2007 제품소개 및 다운로드 받기
http://www.nprotect.com/service/avs2007/

아래는 "nProtect AVS 2007"이 실행된 모습 입니다.


nProtect AVS 2007은 메인화면 좌측에 보이는 것과 같이  크게 아래의 5가지의 메뉴로 구성되어 있으며, 각 메뉴의 간략한 설명 및 기능은 아래와 같습니다.

보안센터 : 현재 보안설정 상황을 한눈에 볼 수 있으며, 업데이트 및 제품정보에 관련된 설정을 빠르게 할 수 있습니다.
바이러스 / 스파이웨어 :  nProtect AVS 2007의 핵심 기능으로 실시간 감시기를 이용해 시스템을 검사할 수 있습니다.
시스템 청소 : 시스템에 불필요한 파일을 삭제하여 디스크 공간을 확보하고 PC를 최적화 시킵니다.
파일 관리 : 중요한 파일을 암호화 하여 안전하게 보호하고, 완전삭제가 필요한 파일은 복구가 불가능하도록 시스템에서
                      완전히 삭제할 수 있습니다. 
로그 및 알림 : 로그정보를 보거나 알림을 설정할 수 있습니다.

자, nProtect AVS 2007의 설치가 완료되었습니다. 이제 무엇을 해야 할까요?
바로 "업데이트"입니다. 백신프로그램의 주 기능인 "시스템 검사" 및 "실시간 검사" 기능도 업데이트 없이는 무용지물 일 뿐입니다.
업데이트는 컴퓨터백신에서 정말 중요한 작업으로, 최소한 하루에 한 번 업데이트하여 최신 버전을 유지해 주어야 합니다. 업데이트방법에는 "수동 업데이트"와 "자동 업데이트"가 있으며, 먼저 "수동 업데이트" 방법을 살펴보도록 하겠습니다.

"백신 업데이트"는 PC보안의 기본 
 
nProtect AVS 2007의 업데이트 메뉴는 메인메뉴 상단과 보안센터->제품정보 탭 총 두 곳에 위치하고 있으며, 업데이트 버튼을 클릭하여 업데이트 유틸리티 창을 띄우도록 합니다.

"업데이트 유틸리티"에서 업데이트 가능한 패턴과 제품을 확인하여 다음 "업데이트 시작"을 눌러 업데이트를 진행합니다. 파일 복사까지 완료 되면, nProtect AVS 2007이 재시작 후 업데이트가 완료 됩니다. 


제품 정보에서 최신 업데이트된 패턴 버전과 패턴 수량을 확인할 수 있는데, 최신 업데이트 패턴이 정상적으로 출력되면 업데이트가 정상적으로 완료 된 것 입니다.


위와같이 수동 업데이트는 매번 직접 업데이트 버튼을 클릭해야 하는 번거로움이 있으므로, 자동 업데이트를 이용하는 것이 좋습니다. 그러나 nProtect AVS 2007에는 이미 "자동 업데이트"가 기본으로 설정되어 있으므로, 업데이트 시간 및 정책설정만 변경 하도록 합니다. 아래는 "자동 업데이트" 설정 및 정책 변경방법 입니다.

"업데이트 유틸리티"에서 "옵션"을 클릭 합니다.


"자동 업데이트 사용"을 체크하면 자동 업데이트를 사용할 수 있으며, 아래 "업데이트 주기"는 기본 설정이 3시간 마다 업데이트를 체크하게 되어 있으며, 임의의 시간으로 변경 가능 합니다.


이제 최신 패턴 업데이트까지 완료가 되었다면 드디어 "시스템검사"를 해보도록 하겠습니다!

"시스템 검사"로 악성 프로그램을 박멸하자!

시스템검사는 "바이러스/스파이웨어" 메뉴의 "검사"에서 진행할 수 있습니다. 검사의 종류에는 "기본 검사", "전체 검사", "사용자 지정 검사"로 총 3개의 검사 방법이 있는데, 여기서 "전체 검사"는 말뜻 그대로 시스템 전체를 검사하기 때문에 시간이 오래 걸리는 단점은 있으나 시스템내의 모든 악성 프로그램을 진단할 수 있는 장점이 있어 nProtect AVS 2007 최초 설치 후 "전체 검사"로 시스템을 정밀 검사 하는것이 좋습니다.  

 먼저 "전체 검사"를 선택 후 "검사 시작" 버튼을 클릭합니다.


nProtect AVS 2007의 듀얼 엔진이 로드된 후 사용중인 프로세스, 레지스트리, 파일을 차례로 검사중 입니다.

검사가 완료 되면 검사된 악성 프로그램의 경로와 진단명 그리고 치료 유무에 대해서 아주 자세히 확인할 수 있습니다.
앗! 트로이목마가 발견 되었습니다! 트로이목마는 감염된 PC의 정보를 외부로 유출하는 악성 프로그램 입니다.
소중한 나의 정보가 외부로 유출될 수 있으니 빨리 치료 해보도록 하겠습니다. 아래의 치료버튼을 클릭합니다.


간단히 삭제로 치료가 완료되었습니다. 하지만 발견된 악성 프로그램의 종류에 따라 시스템 재부팅 후 완벽히 치료되는 악성 프로그램도 있으니 "상태" 메시지를 정확히 확인하여 치료가 정상적으로 완료할 수 있도록 해줍니다. 


이렇게 "전체 검사"를 통해 시스템을 진단하고 완벽히 치료까지 했습니다. 그 외 "기본 검사"와 "사용자 지정 검사" 또한 동일한 방법으로 쉽게 검사를 진행할 수 있으며, "기본 검사"는 시스템의 메모리와 주요 항목(윈도우 시스템 파일)만 빠르게 탐색하는 검사 방법이며, 만약 윈도우 시스템 파일에 악성 프로그램이 감염될 경우 시스템에 아주 치명적일 수 있기 때문에 가장 일반적으로 사용하는 검사 방법입니다. "사용자 지정 검사"는 감염 의심되는 디스크 및 폴더만 선택하여 검사를 빠르게 진행할 수 있어 "기본 검사"와 "전체 검사"의 장점을 두루 갖추었다고 볼 수 있습니다.

이제 검사부터 치료까지 모두 완료하여 악성 프로그램으로부터 PC가 안전해졌지만 언제든지 위와 같은 악성 프로그램에 감염될 수 있으므로 안심은 금물입니다. 무엇보다 감염을 사전 예방하여 위험을 최소화하는 것이 가장 완벽한 보안이라고 할 수 있습니다.
"시스템 검사"는 악성 프로그램에 의해 감염된 후 치료하였다면 이번에는 감염 전 미리 예방하는 방법에 대해 알아보도록 하겠습니다.


"실시간 검사"로 감염을 사전 예방하자!
 
"바이러스/스파이웨어" 메뉴의 "실시간 검사 사용"을 "On"에 놓으면 실시간 검사를 사용할 수 있습니다.


실시간 감시에는 등급이 있는데 등급이 높을수록 실시간 검사 시 더욱 정밀한 검사를 시행하지만 저 사양의 PC에선 시스템이 느려질 수 있으므로 자신의 시스템 상황에 따라 알맞게 설정합니다.
아래는 "내 문서"에 악성 프로그램이 있다는 가정하에 "내 문서"를 더블클릭하여 접근 시 악성 프로그램의 여부를 파악하여 경고창이 출력된 모습입니다. PC가 느려진다는 이유로 "실시간 검사"를 꺼두었다면, 악성 프로그램인지 모르고 아무런 의심 없이 파일을 실행하여 PC에 감염되었을지도 모르는 아찔한 상황입니다.

지금까지 nProtect AVS 2007의 "업데이트"부터 "시스템 검사", "실시간 검사"까지 알아보았습니다. 위에서 함께 살펴본 것과 같이 백신 프로그램은 설치만으로 그 기능을 제대로 발휘할 수 없습니다. 자신에게 맞는 옷이 있는 것 처럼 백신프로그램 또한 시스템에 맞는 설정이 필요하며, 아래 링크에 있는 "윈도우 업데이트"로 최신 보안업데이트까지 완료한다면 PC를 더욱더 안전하게 보호할 수 있습니다.

▣ "쉽게 배우는 윈도우 업데이트" 바로가기
http://erteam.nprotect.com/8
저작자 표시
신고
Posted by nProtect
안녕하십니까?
2010년 10월 13일자 첫번째 업데이트 안내문입니다.

금일 정기 업데이트에서는 총 7551개 악성코드에 대한 진단/치료가 안티 바이러스에
업데이트 되었으며, 총 51개의 스파이웨어 및 애드웨어에 대한 진단/치료가
안티 스파이웨어에 업데이트 되었습니다.

안티 바이러스 업데이트 안내

1. 안티 바이러스 업데이트 버전 : 2010-10-13.01

1-1. 다음 3473개 악성코드에 대한 진단/치료가 자사 엔진에 업데이트 되었습니다.

     Backdoor/W32.Agent.107139.B
     Backdoor/W32.Agent.1117696
     Backdoor/W32.Agent.112640.I
     Backdoor/W32.Agent.115327.B
     Backdoor/W32.Agent.115327.C
     Backdoor/W32.Agent.115847
     Backdoor/W32.Agent.11776.AF
     Backdoor/W32.Agent.117760.O
     Backdoor/W32.Agent.1224704.D
     Backdoor/W32.Agent.122880.BM

더보기


     
저작자 표시
신고
Posted by nProtect