본문 바로가기

벌새::Analysis

MSN 메신저 악성코드 : 24442498736-JPG-www.facebook.com.exe (2010.7.21)

마이크로소프트(Microsoft)사에서 서비스하는 MSN 메신저를 통해 해외에서 유포하는 것으로 추정되는 단축 URL 링크를 통해 24442498736-JPG-www.facebook.com.exe 악성 파일이 국내에서도 유포되고 있다는 소식입니다.
[악성코드 유포 경로]

h**p://is.gd/*****?=www.facebook.com/photo.php
 - h**p://64.***.120.**/24442498736-JPG-www.facebook.com.exe
24442498736-JPG-www.facebook.com.exe
유포 방식은 MSN 메신저를 이용하여 해외의 정상적인 단축 URL 링크를 제시하여 해당 링크를 클릭할 경우 좌측 그림과 같은 그림판 아이콘으로 위장한 악성 파일을 다운로드하도록 구성된 것으로 보입니다.

현재 단축 URL 제공 업체에서는 해당 링크를 차단한 상태이지만, 해당 악성 파일에 감염된 사용자는 자신의 MSN 등록 친구들에게 추가적으로 악성 링크를 포함한 정보를 발송하는 동작을 통해 계속적인 감염을 유발하는 것으로 알려져 있습니다.

다운로드된 24442498736-JPG-www.facebook.com.exe(MD5 : 2b1ef1f09eed33c0bbd82b813a059f59) 파일은 Kaspersky 보안 제품에서 Trojan.Win32.Jorik.IRCbot.ck (VirusTotal : 10/42) 진단명으로 진단되고 있습니다.

해당 악성코드에 감염된 경우 Oracle에서 제공하는 JRE를 설치한 사용자 시스템의 경우 존재하는 정상적인 jusched.exe 파일로 위장하여 다음과 같은 등록을 하도록 구성되어 있습니다.

[정상적인 jusched.exe 파일 시작 프로그램 등록 정보]

● 파일 위치 : C:\Program Files\Common Files\Java\Java Update\jusched.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SunJavaUpdateSched = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[감염된 사용자 시스템 시작 프로그램 등록 정보]

● 파일 위치 : C:\WINDOWS\jusched.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Java developer Script Browse = C:\WINDOWS\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
 - Java developer Script Browse = C:\WINDOWS\jusched.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Java developer Script Browse = C:\WINDOWS\jusched.exe

감염된 시스템은 특정 인터넷 서비스 정보 유출 등의 악의적인 동작이 있을 것으로 추정되므로, 반드시 보안 제품을 이용한 치료를 완료한 후 MSN 메신저 비밀번호 변경을 추가적으로 하시기 바랍니다.

메신저를 통한 악성코드 유포는 등록된 친구 관계에 있는 사용자가 감염된 경우 연결되는 경향이 많으므로 타인에게 피해를 주지 않도록 메신저를 통한 수상한 링크나 파일 다운로드는 매우 주의하시기 바랍니다.
  • 스팸메일이 아주 활개를 치는군요.ㅎㅎ
    V3 ASD진단으로 잡고 있네요.
    그런데 이런 많은 스팸메일을 어디서 구하시는지요?
    (전 스팸메일이 별로 안들어오네요.)