본문 바로가기
IT 보안소식

알집(ALZip), ALZip SFX 방식을 이용한 악성코드 주의

by 잡다한 처리 2010. 8. 10.
반응형


알집의 SFX방식을 이용한 악성코드가 발견되었다.

현재 최초 유포단계는 알 수 없으며, 이메일을 통해 단축 URL로 배포 될 가능성이 매우 높다.

- Short URL
http://km****.ok.hn
http://hot*****.co7.co

- Redirection URL
http://juda****.com/1.html
http://juda****.com/AdobeFlashPlayer.exe

위의 Short URL로 접속하면 사용자를 현혹시키기 위해 선정적인 그림과 문구가 적혀 있으며, 사용자에게 다운로드를 유도한다.



그림을 클릭하면 AdobeFlashPlyer.exe를 다운로드 받게 된다.
악성파일을 많이 보신 분들이라면 이름만 들어도 ㅡ.ㅡ; 악성이라 의심할 수 있을 만한 파일명!! ㅋㅋㅋ



중요한건 ALZip SFX로 압축이 되어있기 때문에, 일반적인 사용자들은 믿고 클릭을 할 수 있다.
모든 벤더정보가 ESTsoft로 되어있어서~ 사용자들에게 더욱 믿음을 줄 수 있다.



자세한 분석은 하지 않았으며, 간략한 파일정보와 레지스트리 정보만 기재하였음
- 파일정보
C:\Program Files\Common Files\ODBC\SqlStarter.exe
C:\Program Files\Common Files\ODBC\sqlservt.exe
C:\Program Files\Common Files\ODBC\sqlupdate.exe

- 레지스트리 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"sysfile" = "C:\Program Files\Common Files\ODBC\sqlupdate.exe"

- 접속 IP정보(Computer Name, OS, CPU, Memory, HDD, IP 정보를 가져감)


댓글