안녕하세요?
이스트소프트 보안대응팀입니다.
윈도우 업데이트 파일로 위장한 악성 DLL 파일이 미투데이(me2day)를 이용해 추가 악성코드를
다운로드하고 있으며, 새로운 좀비 PC들을 양산해내고 있어 사용자들의 주의가 필요합니다.
현재 윈도우 업데이트 파일로 위장한 악성 DLL 파일이 국내에서 서비스되어 있는 미투데이와
해외의 트위터(Twitter)를 통해 추가 악성코드를 다운로드 받게 하고 있으며, 이들 파일들이
좀비 PC를 양산하는 역할을 수행하고 있습니다.
소셜 네트워킹 서비스(SNS)를 통한 악성코드 유포는 주로 해외의 트위터(Twitter)나
페이스북(Facebook) 등을 중심으로 이루어졌으나 국내 사용자가 대다수를 차지하는
미투데이를 통해 악성코드를 유포한 사례로는 이번이 처음입니다.
특히 이번에 유포된 악성코드는 감염 PC를 좀비 PC로 만들어 공격자의 추가 공격 명령을 기다리고 있으며,
악성코드를 다운로드 하는 서버가 국내에 위치하고 있는 것으로 파악되고 있습니다.
증거 인멸을 목적으로 악성코드 자신을 삭제하는 기능과 좀비 PC들을 관리하기 위한
C&C(Command & Control) 서버가 국내 웹 하드 사이트의 게시판인 것으로 드러나 주목할 필요가 있습니다.
토종 SNS 서비스를 통해 악성코드가 유포된 첫 사례이고 향후 이를 모방한 공격 방법도 증가할 것으로 보여
사용자들의 주의가 요구됩니다.
현재 알약에서는 V.DWN.Twime2, V.TRJ.Malex.gen 진단하고 있으므로, 반드시 알약을 설치하여
DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 해주시기 바랍니다.
<그림1 : 미투데이(m2day)와 트위터(twitter)를 통해 유포되는 악성코드 다운로드 주소>
<그림2 : 윈도우 업데이트로 위장 및 미투데이와 트위터에 저장된 URL 주소에서 악성코드 다운>
<그림3 : 국내에 위치하고 있는 악성코드 유포 서버>
<그림4 : 국내 웹하드 사이트 게시판에서 발견한 좀비 PC 명령>
[치료방법]
1) 알약 사용자께서는 DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 시켜주시기
바랍니다.
2) 현재 알약에서는 해당 악성코드 파일들을 V.DWN.Twime2, V.TRJ.Malex.gen 진단하고 있으며,
제거가 가능합니다.
이미 감염된 PC에서는 반드시 알약을 설치하여 최신 DB로 업데이트 한 후
기본/정밀 검사를 실시해야 합니다.
<알약 공개용 다운로드>
[예방 방법]
※ 현재 악성코드를 다운로드 받는 서버들이 계속 활동 중이므로 주의가 요구됩니다.
1) 알약 DB 업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다
'IT 보안소식' 카테고리의 다른 글
Worm.Sality.3 감염코드가 포함 된 오토런 악성파일 주의!! (0) | 2010.07.28 |
---|---|
마이크로소프트(MicroSoft), Lnk File 0-Day에 대한 자료들 (0) | 2010.07.28 |
Bkis Global Task Force Blog, Lnk Exploit Analysis and Detect Tool (0) | 2010.07.22 |
[SpamMail] "declined deposit report" 제목으로 전파 되는 메일 주의!! (0) | 2010.07.19 |
변조 된 imm32.dll파일에 추가된 "rs64 New Section" (0) | 2010.07.19 |
댓글