MSN 메신저로 전파되는 악성 파일 주의!

최신 보안 동향

MSN 메신저로 전파되는 악성 파일 주의!

TACHYON & ISARC 2011. 2. 22. 11:31

1. 개요

2011년 2월 21일경 MSN(Live) 메신저를 통하여 전파 되어지는 악성파일이 국내에서 발견 되었으며 기존의 네이트온 쪽지로 유포 되어지는 악성파일 유포 방식중 하나인 인스턴스 메신저의 특정 URL 주소를 접근할 경우 악성파일에 감염 되게 된다.

2. 감염 방식

현재 까지 확인 되어지는 해당 악성 파일은 MSN 메신저를 통하여 확인 되지 않는 특정 URL 접근시 악성파일을 다운로드 하여 감염이 진행 되게 된다.

위 그림에서 보이는 링크를 클릭 할 경우 아래와 같은 URL 경로를 통하여 그림파일로 위장한 실행 가능한 악성파일(DSC002502011.JPG.scr) 이 다운로드 되어진다.

http://www.*****academy.**/image.php?img=DSC002502011.JPG

해당 URL을 통하여 다운로드 되어지는 DSC002502011.JPG.scr 악성파일은 아래와 같은 그림파일 처럼 위장 되어져 있는 상태이다.

또한, 해당 악성파일이 실행되면 아래와 같은 URL을 통하여 추가적인 악성파일을 다운로드 하게 된다.

http://bistrode*****.com/kbn.exe

다운로드 되어진 kbn.exe 악성파일은 아래와 같은 특정 경로에 winrsvn.exe 파일로 저장되게 되며, 윈도우 시작시 재 감염이 발생할 수 있도록 레지스트리 값을 등록 하게 된다.

[생성파일]

사용자 계정\Microsoft-Driver-[램덤한 숫자]\winrsvn.exe

[레지스트리 정보]

HKEY_CURRENT_USER\Sofrware\Microsoft\Windows\CurrentVersion\Run
"Microsoft(R) Service Update="%사용자 계정&Microsoft-Driver-[램던한 숫자]\winrsvn.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
"%사용자 계정%\Microsoft-Driver-[램덤한 숫자]\winrsvn.exe"

현재 MSN(Live) 을 통하여 전파 되어지는 해당 악성파일은 아래와 같은 메시지와 함께 악성파일 링크를 다시 특정 사용자에게 전달하게 된다.

[전송 메시지 내용]

이 사진을 봐
hab ich dir das foto schon gezeigt?
wie findest du das foto?
das foto solltest du wirklich sehen
so will ich nicht aussehen wenn ich alt bin
kennst du die person aufm foto?
kennst du das foto schon?
schau mal das foto an
unglaublich welche fotos leute von sich machen schau mal
die sieht aus wie angela merkel
tell me what you think of this picture i edited
i cant believe i still have this picture of you from last winter
should i make this my default picture?
this is the funniest photo ever!
tell me what you think of this photo
i don't think i will ever sleep again after seeing this photo
my parents are going to kill me if they find this picture

3, 예방 조치 방법

1. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
2. 신뢰할 수 있는 보안 업체에서 제공하는 보안 소프트웨어를 설치하도록 한다.
3. 윈도우와 같은 OS 및 응용 프로그램에 대하여 최신 보안 패치를 적용하도록 한다.

현재 잉카인터넷 대응팀에서 이러한 보안 위협에 대비하기 위하여 24시간 지속적인 관제 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 진단로그

저작자표시

'최신 보안 동향' 카테고리의 다른 글

MS Office DOCX 문서 파일로 전파 되어지는 악성파일 주의 (0)	2011.02.25
금융결제와 관련한 피싱사례 발견 주의 필요 (3)	2011.02.23
QR(Quick Response)코드의 편리성과 악용 가능성? (2)	2011.02.17
PC방을 중심으로 유포되고 있는 ARP Spoofing 공격 악성파일 주의 필요 (0)	2011.02.17
글로벌 에너지 업체에 대한 Spear-Phishing 사례 보고 : 나이트 드래곤(Night Dragon) (0)	2011.02.14

현재글MSN 메신저로 전파되는 악성 파일 주의!

잉카인터넷, TACHYON 공식 블로그, 정보보안, 엔진업데이트, 악성코드 분석 정보

Ransomware, Android, 타키온, 업데이트, 보안, 잉카인터넷, 랜섬웨어 분석, 랜섬웨어, 악성코드, TACHYON, Cisco, 악성파일, nProtect, 권고, 안드로이드, 랜섬웨어분석, 동향, 엔프로텍트, 악성코드 분석, 취약점,

Today :
Yesterday :

일	월	화	수	목	금	토
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

잉카인터넷 시큐리티대응센터 블로그