본문 바로가기
IT 보안소식

A양 유출 동영상을 위장한 악성파일 주의!! 과도한 검색으로 악성파일까지 감염되지 마시길!!

by 잡다한 처리 2011. 12. 9.
반응형



뉴스에서 하도 떠드니~ A양이 누군지는 알것이다.
하지만 모르는 사람도 분명있다. 그래서 검색을 하게 된다(사람이니까 ㅡㅡㅋ)

그런 심리를 이용하여 악성파일을 뿌리는 행위가 존재한다....이 파일이 바로 그런 식이다.

유포는 카페와 블로그 첨부파일, 그리고 SNS로 빠르게 전파되었다.
(현재는 다운로드 자체가 막혀있음!! 그래서 주소를 공개하였으니 ㅋㅋ 다운로드 노력하지마시오!!)




이렇게 전파 된 압축파일은 exe압축으로 되어있으며, 더블클릭으로 쉽게 실행 될 수 있다.






압축해제가 완료 되면 "C:\NewFolder" 폴더에 아래와 같이 압축을 해제한다.
(더블클릭으로 실행 될 경우는 악성파일은 이미 실행되어 보이지 않는다, 아래의 화면은 강제로 압축을 해제한 모습이다)


제작자는 집요하게 전파를 위해 txt 파일을 하나 만들어 두었다.



압축이 해제되면서 netsecurity.exe가 실행되면, 시스템폴더에 netdrvsrty.exe 파일을 생성한다.


부팅 후 자동시작을 위해 Run 레지스트리에 등록 된다.
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"netsecurityDRV" = "C:\WINDOWS\system32\netdrvsrty.exe")




이렇게 실행 된 악성파일은 특정 서버에 접속하여 악의적인 행위를 수행할 것으로 판단된다.
아직 정확한 분석은 안되어서 분석내용이 없음 ㅋㅋ 그냥 주의하라고 적은 포스팅!!

현재 알약에서는 Trojan.Dropper.Agent.DRV, Trojan.Agent.DRV 로 탐지되오니, 항상 보안프로그램의 실시간을 켜두시길^^




글을 다 쓰고 보니 ㅡㅡㅋ 제목에만 A양이지;; 파일에는 이름이 다보이네;; 귀찮으니 패스!! 

댓글