키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 배포 주의!!

2009년 10월부터 외국사이트에서 배포하기 시작하였으며 현재까지도 활발하게 활동 중이다.

2009년에는 Multi Download 를 목적으로 배포가 되었으며, 2010년에는 Keyboard Layout 만을 노린 배포로 수정되었다.

2009년에도 Keyboard Layout은 포함되어 있었다.

일정기간동안 모니터링을 한 결과 배포주소가 어느정도 동일하다는 것을 알 수 있었다.

따라서 전용툴 또는 동일한 그룹이 생성한 것으로 보여진다.

http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/689sd.htm
http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/738sd.htm
http://x(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/588sd.htm
http://x(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/172sd.htm
http://g(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/360sd.htm
http://g(랜덤2자리).nna.cc/(랜덤숫자 1~2자리)/360sd.htm

여러가지 취약점으로 인해 하나의 파일을 다운로드 시키며, 기본적인 파일내용은 다음과 같다.

- 파일 정보

C:\Documents and Settings\UserName\Local Settings\Temp\n(랜덤 1자리).exe -> 드롭퍼

C:\Windows\System32\wina(랜덤 2자리).ime -> AVkill 악성파일

- 다운로드 파일목록

- 레지스트리 정보

- 감시 당하는 프로세스

360rp.exe

360sd.exe

ZhuDongFangYu.exe

krnl360svc.exe

nod32kui.exe

nod32krn.exe

egui.exe

ekrn.exe

kavstart.exe

kwstray.exe

ravmond.exe

rstray.exe

avp.exe

360safe.exe

naPrdMgr.EXE

VsTskMgr.EXE

AutoRun.EXE

HijackThis.EXE

PFW.EXE

TrojDie.KXP

Trojanwall.EXE

TrojanDetector.EXE

ArSwp.EXE

SREngLdr.EXE

rfwsrv.EXE

rfwProxy.EXE

Rsaupd.EXE

RsMain.EXE

RsAgent.EXE

ScanFrm.EXE

RavStub.EXE

rfwmain.EXE

Rfwstub.EXE

GFUpd.EXE

GuardField.EXE

Runiep.EXE

KAVPFW.EXE

kwatch.EXE

KASARP.EXE

ANTIARP.EXE

Regedit.EXE

WOPTILITIES.EXE

Ast.EXE

Mmsk.EXE

Frameworkservice.EXE

KRegEx.EXE

RavTask.EXE

KVWSC.EXE

IceSword.EXE

RavMon.EXE

RAVTRAY.EXE

Ravservice.EXE

AvMonitor.EXE

safeboxTray.EXE

360safebox.EXE

360tray.EXE

arpfw.EXE

SuperKiller.EXE

360rpt.EXE

mcshield.exe

Rtvscan.exe

Mctray.exe

kav32.exe

kswebshield.exe