1. 개 요
최근 국제적으로 이슈가 되고 있는 리비아 반정부 시위 사태와 관련해 사회공학 기법을 이용한 악성파일 유포가 이루어지는 것으로 알려져 사용자들의 주의가 요구되고 있다. 일본의 지진 사태와 같은 굵직한 사회/국제적 이슈는 이제 악성파일 제작자 등을 포함한 사이버 범죄자들의 가장 좋은 범죄 수단으로 악용되고 있는 만큼 이번 글을 통해 관련 내용에 대해 살펴보고 피해를 입지 않도록 사전에 대처할 수 있는 시간을 가져보도록 하자.
[참고 : Online criminals bring the Libyan conflict to your computer]
☞ http://blogs.paretologic.com/malwarediaries/index.php/2011/04/01/online-criminals-bring-the-libyan-conflict-to-your-computer/
2. 악성파일 유포 경로 및 감염 증상
아래와 같은 특정 사이트의 도메인은 최근 만들어진 것으로 보고되고 있으며, 접속하게 되면 리비아 사태와 관련한 정보들이 제공되고 있는 화면을 볼 수 있다.
해당 사이트는 대부분의 정보들을 신뢰할 수 있는 기관들의 링크형식을 통해 정상적인 방법으로 제공하고 있다. 다만, 접속 시 자바 애플릿을 통해 아래와 같은 추가적인 악성파일을 다운로드 할 수 있다.
- FreeLibya.jar (2,762 바이트)
파일명 또한, 리비아와 관련 있는 파일명으로 되어 있어 다운로드 및 실행 시 사용자들이 쉽게 현혹될 수 있다. 다만, 사용자들의 PC에 자바 JDK 설치 여부에 따라 아래의 그림과 같은 화면을 볼 수 있으며, 해당 jar 파일에 대한 다운로드가 불가능할 수 있다.
◆ 자바 JDK 미설치 시
◆ 자바 JDK 설치 시
위의 과정을 통해 다운로드된 jar 파일이 실행되면, 내부의 class 파일에 코딩된 자바 코드에 따라 아래와 같은 추가적인 악성파일(javaclient.exe)을 다운로드 하게 된다.
위의 과정을 통해 추가적으로 다운로드된 악성파일(javaclient.exe)이 실행되면 아래와 같이 자신의 복사본을 특정 경로에 생성하게 되며, 레지스트리 값 등록을 통해 윈도우 부팅 시 마다 악성파일이 동작할 수 있도록 한다.
- (사용자 임시 폴더)\svc21host.exe (1,130,496 바이트)
※ 레지스트리 생성
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 이 름 : svc21host
- 데이터 : (사용자 임시 폴더)\svc21host.exe
※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.
또한 아래의 그림과 같이 지속적으로 특정 외부 사이트와 접속 상태를 유지하며, 최종적으로 봇넷 PC가 될 수 있다.
3. 예방 조치 방법
사회/국제적 이슈에 대한 정보는 모든 사람들이 관심을 가질 수 밖에 없다. 악성파일 제작자 등을 포함한 사이버 범죄자들은 사람들의 이러한 심리를 악용하기 때문에 사회공학 기법을 이용한 악성파일 유포 등의 사이버 범죄가 지속적으로 늘어나고 있는 추세이다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일을 최신 엔진 및 패턴 버전을 통해 하기와 같이 진단/치료 기능을 제공하고 있으며, 이와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'최신 보안 동향' 카테고리의 다른 글
| Adobe 응용 프로그램 취약점을 이용하여 유포 되어지는 악성파일 주의 (2) | 2011.04.12 |
|---|---|
| 해외 유명 백신 설치본으로 위장한 악성파일 발견 주의 필요 (1) | 2011.04.05 |
| 국내 유명 대기업의 노트북에서 발견된 키로거는 오진에 의한 것으로 판명 (4) | 2011.03.31 |
| 일본 지진에 의한 쓰나미(Tsunami) 피해 사건을 악용한 금전 피해 사례 증가 (0) | 2011.03.25 |
| [버전업]3.3 DDoS 하드디스크 파괴 차단 프로그램 nProtect MBR Guard 무료 배포 (2) | 2011.03.15 |