본문 바로가기
IT 보안소식

MSN 메신저로 "이 사진을 봐 URL(DSC002502011.JPG.scr)"로 전파되는 악성코드 주의!!

by 잡다한 처리 2011. 2. 21.
반응형



금일 2월 21일 부터 MSN 메신저로 "이 사진을 봐 http://www.startac*****.be/image.php?img=DSC002502011.JPG" 로 
시작되는 링크가 전파되고 사용자의 주의가 필요하다.

악성파일에 감염 되면, MSN으로 자체전파가 가능하니 꼭 보안프로그램의 업데이트가 필요하다.

- 파일정보
(PC File)
사용자 다운로더 폴더\DSC002502011.JPG.scr
%PROFILE%\Microsoft-Driver-1-52-2475-9627-8645\winrsvn.exe

(USB Drive)
autorun.inf
winrsdrv32.exe
[랜덤한 이름의 폴더]USB가 가지고 있던 정상폴더명으로 생성 된 exe 파일(winrsvn.exe 복사본)
* %PROFILE% = C:\Documents and Settings\UserName


- 레지스트리 정보
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Microsoft(R) Service Update" = "%PROFILE%\Microsoft-Driver-1-52-2475-9627-8645\winrsvn.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
"%PROFILE%\Microsoft-Driver-1-52-2475-9627-8645\winrsvn.exe"


- 다운로드 및 IRC접속 서버
파일 다운로드 서버 : http://bistrode*****.com/kbn.exe(winrsvn.exe 과 동일파일)
IRC접속 서버 : 216.157.22.***:5500



- 전송 메시지 내용(여러가지 언어가 포함되어 있으며, OS언어에 따라 보내는 메시지를 선택하는 것으로 판단됨)
이 사진을 봐
wie findest du das foto?
hab ich dir das foto schon gezeigt?
das foto solltest du wirklich sehen
schau mal das foto an
unglaublich welche fotos leute von sich machen schau mal
so will ich nicht aussehen wenn ich alt bin
kennst du die person aufm foto?
kennst du das foto schon?
die sieht aus wie angela merkel
wer zum teufel ist das auf diesem foto
Creo que no voy a poder dormir ms despues de ver esta foto. 
Mir No puedo creer que todav a tengo esta foto tuya del invierno pasado, te acordas?
Quedar a bien si pongo esta foto en mi perfil? O me veo medio mal?
Esta foto es gracios
sima! Que decis?
Mis padres me van a matar si ven esta foto mia, que decis?
Mira como saliste en esta foto jajaja
Nu imi mai voi face niciodat poze!! Toate ies urate ca asta.
Spune-mi ce crezi despre poza asta.
Asta e ce-a mai funny poza!Tu ce zici?
Zimi ce crezi despre poza asta?
Nu cred ca voi mai putea dormi dupa ce am vazut poza asta. Tu ce zici?
ti piace la foto?
hai visto questa foto?
la foto e grandiosa!
ti ricordi la Foto?
dopo che hai visto la foto, tu non dormirai piu
conosci la persona in questa foto?
chi e in questa foto?
Je ne pense pas que je vais pouvoir dormir aprs avoir vu ces photos.
Je n'arrive pas a croire que j'ai encore cette photo de toi depuis l'hiver dernier.
Devrais-je mettre cette photo de profile?
C'est la photo la plus marrante!
Dis moi ce que tu pense de cette photo de moi?
Mes parents vont me tus si ils trouvent cette photo.
tell me what you think of this picture i edited
this is the funniest photo ever!
tell me what you think of this photo
i don't think i will ever sleep again after seeing this photo
i cant believe i still have this picture of you from last winter
should i make this my default picture?
my parents are going to kill me if they find this picture


- 추가정보
100% 분석한 내용이 아니라, 차후 다른 행위를 할 수도 있지만 간단히 확인해 본 결과 해당 파일에 대해 조금 재미있었던 
부분이 있었다.

아래의 그림의 USB 내용을 살펴보자
리포트, 새폴더, 테스트의 폴더가 있고, 589785658 이름의 폴더가 있다. 이 숫자 폴더는 악성파일이 생성 한 폴더이다.
3개의 바로가기 아이콘이 있으며, USB 이동디스크로 전파하기 위해 autorun.inf와 악성파일 인 winrsdrv32.exe 파일이 있다.

우선 악성파일이 생성 한 589785658  폴더를 살펴보면 winrsvn.exe 폴더의 아이콘가 동일 한 3개의 파일이 존재한다.
근데 그 이름이 모두 정상적인 폴더의 이름을 가지고 있다. 왜 그럴까는 다음 사진을 보면 알 수 있다.


테스트 바로가기 파일의 등록정보를 확인해 보면,
E:\589485658\테스트.exe 로 대상이 지정되어 있다.

이말은 즉, 정상적인 폴더가 숨겨져 있으니 사용자는 당연히 바로가기 아이콘을 클릭하게 된다.
사용자가 "테스트 바로가기" 아이콘을 클릭 하면 정상적인 폴더로 이동하는것이 아니라 
"E:\589485658\테스트.exe" 파일을 실행하게 만드는 링크인 것이다.


악성코드 제작자가 충분히 1차 감염 이후에 2차,3차까지 고려해서 만들었다고 봐야겠다.
왜 그렇게 감염에 목숨걸었나 추측해보면, IRC 서버까지 접속하는 것으로 보아 좀비PC를 만들기 위해서라고 판단 할 수 밖에^^;

아무튼, 사용자들은 MSN 메신저 및 네이트온 메신저, Email로 전달되는 링크에 대해 의심하고 클릭을 하지 말아야 한다.

알약에서는 V.WOM.Autorun.MSU, V.DWN.Agent.MSU 로 탐지 중 이니, 최신DB로 업데이트를 하시기 바랍니다.

댓글