반응형
국내는 야후 메신저의 유저수가 현저하게 떨어지니^^; 외국으로만 많이 이슈가 나오는거 같다.
해당 이슈는 인도의 대표 보안업체인 "Quick Heal" 에서 발표 되었다.
야후 메신저로 전달 된 단축URL(hxxp://smallurl.in/pictures8879)로 접속하면,
hxxp://jeanie.ws/profile.php?=filename=PIC976242742133-JPG-www.facebook.com.exe 파일을 다운로드 한다.
다운로드 된 파일(PIC976242742133-JPG-www.facebook.com.exe)이 실행 되면 다음과 같이 파일과 레지스트리를 생성한다.
- 파일생성
C:\WINDOWS\jusched.exe
- 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Java developer Script Browse" = "C:\WINDOWS\jusched.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Java developer Script Browse" = "C:\WINDOWS\jusched.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
생성 된 jusched.exe 파일은 특정 IRC채널(210.170.62.115:2345)에 접속하여 방장의 명령을 수행한다.
수행하는 명령은 여러가지가 있지만, 분석 시 파일다운로드, 파일실행, 파일읽기, 사용자 정보 전송 등을 수행하였다.
- 파일 다운로드
hxxp://83.133.121.222/NkU10UD5T5m04O2MTQ1fGRvd25sb2FkfA==17c.gif (c:\csdfss.exe 로 저장 후 실행)
- 사용자 정보 전송
컴퓨터이름, IP정보 전달
- 변경 될 시작 페이지 도메인 전달
hxxp://domredi.com/1/ 로 시작페이지를 변경시킨다.
또한 윈도우 자동 업데이트 서비스를 중지하며, 페이스북의 계정과 패스워를 찾고 다시 야후 메신저로 전파를 시도한다.
마지막으로 사용자에게 마이스페이스(myspace - 국내의 싸이월드 같은 사이트) 사이트를 보여줌으로써, 사용자의 눈을 속인다.
아래의 그림은 정상적인 사이트이다.
알약에서는 해당 파일을 Worm.IM.Slenfbot.AK 와 Trojan.Generic.KD.184754 로 탐지한다.
'IT 보안소식' 카테고리의 다른 글
| [정상파일변조] 변조된 사이트를 이용한 정상파일(midimap.dll)을 수정하는 악성파일 주의!! (12) | 2011.04.18 |
|---|---|
| 네이트온 악성코드 사진변경(2011-04-17) (2) | 2011.04.17 |
| 어도비 플래쉬 플레이어 제로데이(Adobe Flash Player 0-Day)를 이용한 악성파일 유포 주의!! (0) | 2011.04.12 |
| 현대캐피탈(HyundaiCapital), 고객정보 42만건 해킹사건(4월 8일) (0) | 2011.04.09 |
| 해외 유명 안티바이러스(AntiVirus)의 설치파일로 위장한 "Fake Installer" 주의!! (0) | 2011.04.06 |
댓글