지금도 수많은 변종을 일으키고 있어 메신저 사용자들의 각별한 주의가 필요하다.
메신저 악성코드의 초기단계에서는 사용자의 손에 의해 악성파일이 상대방에게 전달되거나 메신저의 아이디와 패스워드를 가로채어 제작자가 직접 악성파일을 보내었지만, 근래에 와서는 메신저의 “쪽지보내기” 기능을 통해 악성파일을 다운로드하고 실행되는 추세이다.
1. 전파방법
- 국내 메신저를 통한 전파
메신저의 “쪽지보내기” 기능을 이용하여 친구목록 리스트에 악성파일의 URL과 약간의 문구가 담긴 내용의 쪽지를 보내게 된다. 타인으로의 쪽지가 아닌 신뢰할 수 있는 지인으로부터 전달되기 때문에 사용자는 큰 의심하지 않고 클릭 하게 된다.
(그림 1. 국내메신저(네이트온)으로 전파되는 쪽지내용)
(그림 2. 국내메신저(버디버디)으로 전파되는 쪽지내용)
전파된 쪽지의 내용은 사용자의 궁금증을 유발시키는 문구로 되어있으며 URL의 중간부분을 ASCII Code로 변환하여 Full URL을 확인하지 못하게 한다.
클릭 된 URL은 Redirection을 통하여 악성파일 유포지로 이동되어 사용자에게 다운로드를 하도록유도한다.
다운로드 된 파일이 실행되면 악성파일은 여러 유형의 그림으로 사용자의 시선을 끌며 자신을 몰래 실행한다. 예전에는 여러 사물들을 이용한 그림을 사용하였지만, 최근은 여성의 그림들이 사용되고 있다.
(그림 5. 악성파일 실행 시 사용자에게 보여지는 그림들)
메신저 사용자가 쪽지를 통해 악성코드에 감염되는 경로는 그림과 같이 요약된다.
(그림 6. 메신저 사용자가 감염되는 경로)
- 이동식 디스크를 이용한 전파
윈도우에서 CD-ROM장치에 CD를 넣거나 이동식디스크를 USB포트에 연결할 시 자동실행기능이 동작한다. 사용자에게 편리함을 위해 만들어진 자동실행기능이 악용되고 있다.
대표적인 이동식 디스크인 USB(Universal Serial Bus)에 자동실행기능을 이용하기 위해 Autorun.inf 와 PhysicalDrive2.com 파일을 생성시킨다. 악성파일은 CD-ROM을 제외한 모든 물리디스크(이동식디스크, 하드디스크)에 파일을 복사함으로써 악성코드 재발생의 가장 큰 원인이 된다.
(그림 7. PhysicalDrive2.com파일을 자동실행하기 위한 Autorun.inf 내용)
(그림 8. 감염된 드라이브의 마우스 우측버튼 메뉴의 변화 감염디스크(좌), 정상디스크(우))
<참고사항>
MicroSoft Windows7에는 자동실행을 악용한 악성코드의 전파를 조금이나마 줄이기 위해 USB디스크에 한하여 자동실행 옵션을 해제시켰다. 모든 자동실행이 중지 된 것은 아니며 CD/DVD-ROM은 기존의 자동실행이 동작한다.
(그림 9. Windows7에서의 USB디스크 자동실행 팝업창)
2. 악성코드의 행동
- 특정 메신저 접속 시 아이디와 패스워드 전송
메신저 로그인을 위해 사용자가 입력한 아이디와 패스워드를 가로채기 위해서 메신저에 관련된 파일코드를 수정한다. 전송된 개인정보는 “메신저 피싱”으로 2차적인 위협에 사용 될 수 있다.
(그림 10. 악성파일이 메신저 관련 CKAppEx.dll파일의 코드를 수정하여 아이디와 패스워드를 보내는 일부분)
입력 된 아이디와 패스워드는 특정 URL로 name과 pass라는 Argument값을 가지고 GET방식을 통하여 전송된다. 화면에 보이는 Admin과 1111은 예시로 입력 한 값이다.
(그림 11. http://www.denggere.com/7890/see.asp?msg=값에 name: “admin”과 pass:”1111”을 전송)
- 윈도우 보안서비스 및 보안프로그램 서비스 중지
윈도우 보안관련 서비스를 중지시킴으로써 악성파일이 원활히 동작 할 수 있도록 수정한다.
또한 특정 백신의 서비스를 중지시켜 자신의 파일을 보호 할 수 있도록 한다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc(윈도우 보안센터 서비스)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sharedAccess(윈도우 방화벽 서비스)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc(윈도우 방화벽 서비스)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend(Windefend 서비스)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice(시스템 복원 서비스)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npkcmsvc(nProtect KeyCrypt Manager 서비스)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALYac_PZSrv(알약 서비스)
- 보안프로그램 삭제
다음 경로로 설치되는 국내 보안업체 프로그램들에 대하여 폴더를 제외하고 모든 파일을 삭제하려고 시도한다.
Program Files\AhnLab\ASP
Program Files\Virus Chaser
Program Files\KT
Program Files\HAURI
Program Files\ESTsoft\ALYac
Program Files\AhnLab
Program Files\Kaspersky Lab
Program Files\Geot
Program Files\Naver\NaverPCGreen
Program Files\Symantec AntiVirus
Program Files\Norton
Program Files\Symantec
Program Files\Common Files\Symantec Shared
Program Files\Alwil Software
Program Files\Eset
Program Files\NoAD2
Program Files\Digitalonnet
Program Files\PcdrAntiVirus
Program Files\PCClearPlus
Program Files\PC-Clean
Program Files\PC-CleanV
Program Files\INCAInternet
Program Files\PCFree
Program Files\SpyDoctorPlus
Program Files\TC-Hacking
Program Files\ViScanPro
Program Files\anticlean
Program Files\PatchUp_Plus
- 호스트 파일을 이용한 보안업체 홈페이지 접속 방해
%SYSTEM%\drivers\etc\hosts 파일을 수정하여 보안업체에 접속 하지 못하도록 한다.
(%SYSTEM% 은 일반적으로 c:\windows\system32를 뜻한다)
(그림 12. Hosts파일에 수정되는 사이트목록)
- 사용자의 정보를 가로채는 키로깅
개인정보를 가져가기 위한 키로거 활동을 하며, 사용자가 입력 된 키값을 특정파일을 생성하여 저장한다. 확장자는 다르지만 모두 TXT(텍스트) 파일이다.
%APPDATA%\Microsoft\SystemCertificates\tmg.e1sex
%APPDATA%\Microsoft\SystemCertificates\v9.e1sex2y
%APPDATA%\Microsoft\SystemCertificates\ico.fg2sex
(%APPDATA% 은 일반적으로 C:\Documents and Settings\user name\Application Data를 뜻한다)
(그림 13. 악성파일이 키로깅을 통해 수집 된 사용자 키값의 일부분)
사용자의 키값이 저장되어 있는 파일은 ASCII Code로 변환되어 악성코드 제작자에게 전달 되며
ASCII Code를 변환시켜 해당 내용을 확인 할 수 있다.
(그림 14. 암호화 된 파일을 디코딩 한 특정파일의 내용)
- 숨겨져 있는 자신의 프로세스를 보호하기 위한 안전모드 삭제 및 레지스트리 삭제
일반모드에서는 사용자가 숨겨진 자신의 프로세스를 확인 및 종료 하기 어렵다. 따라서 악성파일이 동작하기 어려운 안전모드 관련 레지스트리를 삭제하여 손상된 시스템이 안전모드로 시작하는 것을 막는다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run (하위값만 삭제)
(그림 15. SafeBoot 레지스트리를 삭제하여 안전모드 진입 시 0x0000007B오류의 블루스크린이 발생한다.)
3. 메신저 악성코드의 예방방법
국내 메신저사용자의 수는 점점 증가할 것이며, 메신저를 악용하여 악성코드를 전파하는 방식도 점차 발전되어 다양해 질 것으로 예상된다. 메신저로 전파되는 악성코드는 사용자의 온라인게임과 인터넷에 접속 시 사용되는 개인정보를 가로채는 것이 목적이므로 메신저를 사용하는 사용자에게 다음과 같은 사항을 권고한다.
- 보안프로그램의 업데이트를 최신버전으로 유지
- 보안프로그램의 실시간 감시는 1차적인 방어막이 되므로 항상 활성화
- 친구목록의 계정으로 악성코드 URL이 포함되어 쪽지가 오는 경우에는 즉시 쪽지를 보내온 사용자에게 메신저 사용을 중지시키고 최신버전의 보안제품으로 검사 후 메신저의 비밀번호를 변경하도록 조치
(용어설명)
- ASCII Code(American Standard Code for Information Interchange) : 영문 알파벳을 사용하는 대표적인 문자 인코딩
- Redirection : 사이트의 주소를 변경하여 강제적으로 접속시키는 방법
- GET방식 : 전송 될 데이터가 HTTP헤더에 연결되어 전송되는 방법
'분석해보까?' 카테고리의 다른 글
[Ollydbg]올리디버거 버그(Float 처리 실패) (0) | 2009.12.03 |
---|---|
[정보보호21C]3부 웹 서버 해킹을 통한 악성코드 대량 배포 유행 (2) | 2009.09.10 |
[강좌] UCS2를 Hex로 변환해보자!! (6) | 2009.08.03 |
[정보보호21C]1부 사람의 심리를 이용하여 설치하게 하는 악성코드 Waledac (0) | 2009.07.21 |
[PDF 취약점] Adobe Reader Javascript Printf Buffer Overflow Exploit (4) | 2009.03.11 |
댓글