반응형
마이크로소프트(Microsoft)사에서 서비스하는 MSN 메신저를 통해 해외에서 유포하는 것으로 추정되는 단축 URL 링크를 통해 24442498736-JPG-www.facebook.com.exe 악성 파일이 국내에서도 유포되고 있다는 소식입니다.
24442498736-JPG-www.facebook.com.exe
현재 단축 URL 제공 업체에서는 해당 링크를 차단한 상태이지만, 해당 악성 파일에 감염된 사용자는 자신의 MSN 등록 친구들에게 추가적으로 악성 링크를 포함한 정보를 발송하는 동작을 통해 계속적인 감염을 유발하는 것으로 알려져 있습니다.
다운로드된 24442498736-JPG-www.facebook.com.exe(MD5 : 2b1ef1f09eed33c0bbd82b813a059f59) 파일은 Kaspersky 보안 제품에서 Trojan.Win32.Jorik.IRCbot.ck (VirusTotal : 10/42) 진단명으로 진단되고 있습니다.
해당 악성코드에 감염된 경우 Oracle에서 제공하는 JRE를 설치한 사용자 시스템의 경우 존재하는 정상적인 jusched.exe 파일로 위장하여 다음과 같은 등록을 하도록 구성되어 있습니다.
감염된 시스템은 특정 인터넷 서비스 정보 유출 등의 악의적인 동작이 있을 것으로 추정되므로, 반드시 보안 제품을 이용한 치료를 완료한 후 MSN 메신저 비밀번호 변경을 추가적으로 하시기 바랍니다.
메신저를 통한 악성코드 유포는 등록된 친구 관계에 있는 사용자가 감염된 경우 연결되는 경향이 많으므로 타인에게 피해를 주지 않도록 메신저를 통한 수상한 링크나 파일 다운로드는 매우 주의하시기 바랍니다.
[악성코드 유포 경로]
h**p://is.gd/*****?=www.facebook.com/photo.php
- h**p://64.***.120.**/24442498736-JPG-www.facebook.com.exe
h**p://is.gd/*****?=www.facebook.com/photo.php
- h**p://64.***.120.**/24442498736-JPG-www.facebook.com.exe
현재 단축 URL 제공 업체에서는 해당 링크를 차단한 상태이지만, 해당 악성 파일에 감염된 사용자는 자신의 MSN 등록 친구들에게 추가적으로 악성 링크를 포함한 정보를 발송하는 동작을 통해 계속적인 감염을 유발하는 것으로 알려져 있습니다.
다운로드된 24442498736-JPG-www.facebook.com.exe(MD5 : 2b1ef1f09eed33c0bbd82b813a059f59) 파일은 Kaspersky 보안 제품에서 Trojan.Win32.Jorik.IRCbot.ck (VirusTotal : 10/42) 진단명으로 진단되고 있습니다.
해당 악성코드에 감염된 경우 Oracle에서 제공하는 JRE를 설치한 사용자 시스템의 경우 존재하는 정상적인 jusched.exe 파일로 위장하여 다음과 같은 등록을 하도록 구성되어 있습니다.
[정상적인 jusched.exe 파일 시작 프로그램 등록 정보]
● 파일 위치 : C:\Program Files\Common Files\Java\Java Update\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SunJavaUpdateSched = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
● 파일 위치 : C:\Program Files\Common Files\Java\Java Update\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SunJavaUpdateSched = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
[감염된 사용자 시스템 시작 프로그램 등록 정보]
● 파일 위치 : C:\WINDOWS\jusched.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Java developer Script Browse = C:\WINDOWS\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
- Java developer Script Browse = C:\WINDOWS\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Java developer Script Browse = C:\WINDOWS\jusched.exe
● 파일 위치 : C:\WINDOWS\jusched.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Java developer Script Browse = C:\WINDOWS\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
- Java developer Script Browse = C:\WINDOWS\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Java developer Script Browse = C:\WINDOWS\jusched.exe
감염된 시스템은 특정 인터넷 서비스 정보 유출 등의 악의적인 동작이 있을 것으로 추정되므로, 반드시 보안 제품을 이용한 치료를 완료한 후 MSN 메신저 비밀번호 변경을 추가적으로 하시기 바랍니다.
메신저를 통한 악성코드 유포는 등록된 친구 관계에 있는 사용자가 감염된 경우 연결되는 경향이 많으므로 타인에게 피해를 주지 않도록 메신저를 통한 수상한 링크나 파일 다운로드는 매우 주의하시기 바랍니다.
728x90
반응형