본문 바로가기

벌새::Analysis

싸이월드(CyWorld) 쪽지 악성코드 : foxrten.rar (2010.4.11)

반응형
국내에서 서비스하는 싸이월드(CyWorld) 쪽지 서비스를 이용하여 악의적인 링크를 포함한 내용을 발송하여 해당 링크를 통한 파일 다운로드를 통한 시스템 감염을 유발하는 배포가 확인이 되었습니다.

[악성코드 유포 경로]

h**p://www.rango***.com
 - h**p://www.goeweiong.com/*******/foxrten.rar (foxrten.exe)

해당 링크에서는 foxrten.rar 압축 파일을 다운로드하여 사용자가 해당 압축 파일 내부에 존재하는 foxrten.exe 파일(RAR SFX)을 실행할 경우 시스템 감염이 이루어지도록 구성되어 있습니다.

현재 Internet Explorer 8 버전에서 제공하는 SmartScreen 필터 기능을 통해 해당 유포 도메인은 1차적으로 차단된 상태임을 확인할 수 있습니다.

exerfor.jpg


foxrten.exe 압축 파일 내부에는 좌측 그림 파일이 실행되면서 사용자에게 악성코드 감염 사실을 숨기고 있으며, 실제로는 neorst.exe (MD5 : 9018818c56d8f53e6d963cdabcd196ec) 파일이 실행되는 것을 확인할 수 있습니다.


해당 neorst.exe 파일에 대해서는 안철수연구소(AhnLab) V3 보안 제품에서 Malware/Win32.Suspicious (VirusTotal : 23/39) 진단명으로 사전 진단을 통한 차단을 하고 있는 것을 확인할 수 있습니다.

해당 사진은 3월경에 네이트온(NateOn) 메신저를 통한 유포시에 이용되는 전형적인 사진으로 이번 유포 역시 동일한 유포자에 의한 것으로 추정됩니다.

해당 악성코드에 감염된 경우 다양한 프로세스에 Baidog.dat 파일을 추가하여 키워드 감시를 통한 온라인 게임 정보 등 개인정보를 탈취하여 금전적 피해를 유발하는 것으로 알려져 있습니다.

그러므로 해당 싸이월드 쪽지를 발송한 실제 계정 소유자에게 계정 비밀번호 교체를 알리시고, 감염된 사용자는 문제가 해결되기 전에는 인터넷 사이트 로그인을 피하시기 바랍니다.

특히 온라인 게임 계정의 비밀번호 교체와 동일한 비밀번호를 사용하는 인터넷 사이트 계정은 반드시 비밀번호 변경을 추가적으로 하시는 것이 피해를 예방할 수 있습니다.

주말마다 매번 반복적으로 이루어지는 이같은 공격을 예방하기 위해서는 사용자가 수상한 링크를 통해 다운로드되는 파일을 실행하지 않는 습관이 중요합니다.

728x90
반응형
  • 언제쯤이나 이런 수법들이 사그러들지 궁금하네요-

    그리고 대부분의 일반 사용자들이 아무런 의심없이 저런 링크를 클릭한다는 게.....;;;

    • 모든 사람들이 이런 정보를 인지하고 있지 못하니 늘 당하는 사람들이 있다고 생각됩니다.

      특히 좋은 보안 제품을 설치했다는 어떤 심리적 요인으로 호기심에 실행을 하는 경향도 있을 것 같고.. 이런 방식은 사회 공학적 기법이라서 사용자의 습관이 중요할 것 같습니다.

  • 하이홀스 2010.04.12 01:18 댓글주소 수정/삭제 댓글쓰기

    제가 이거 걸린거 같아서 한참 읽으면서 이것저것 찾아서 지워보고 있는데요
    neorst는 찾았는데 실행되고 있다고 지워지지가 않고 Baidog.dat 이건 보이지도 않아요...
    일단은 V3라이트 쓰고 있어서 그거 실행해봤는데 안나와요....

    어떻게 하면 좋을까요...ㅠㅠㅠ이렇게 뜬금없이 찾아와서 질문해서 죄송하지만
    제발 부탁 드려요....ㅍㅍ

    • 해당 악성코드에 감염된 경우 전문가가 아니라면 수동으로 해결하기 매우 어렵게 제작된 것으로 알고 있습니다.

      현재 설치 파일은 진단하지만 실제 생성된 파일을 제대로 치료하는 제품은 거의 없을 것으로 보입니다.

      월요일 오후경이면 국내 보안 제품에서 정식으로 치료를 지원할 것으로 보이므로, 그 동안 온라인 게임 사이트 로그인이나 타 사이트 로그인을 하지 마시고 인터넷을 이용하시기 바랍니다.

  • zters.exe, srster.exe 등의 비슷한 파일명으로 주말동안 다수 유포되었네요.