본문 바로가기

벌새::Analysis

MSN 메신저 악성코드 : n11975310_09.JPG-www.facebook.exe (2010.12.6)

국내 MSN 사용자에게 해외 SNS 서비스 Facebook 도메인으로 위장한 악성 URL을 통해 n11975310_09.JPG-www.facebook.exe 악성 파일을 유포하는 행위가 확인되었습니다.

참고로 예전부터 MSN 메신저를 통한 Facebook과 관련된 악성 파일 유포 행위가 꾸준하게 발견되고 있으므로 참고하시기 바랍니다.

[MSN 메신저 유포 URL 정보]

h**p://www.facebook.com/l.php?u=h**p://raw****.com/fb/&h=210ad&=(사용자 ID)@hotmail.com


MSN 메신저 친구 관계 또는 익명을 통해 받게되는 URL에서는 Facebook 도메인을 앞에 위치하여 일반 사용자들이 속기 쉽게 구성되어 있으며, 실제 접속을 할 경우 document.location.replace(URL) 스크립트를 이용하여 악성 인터넷 페이지로 바꿔치기를 시도합니다.

최종적으로 연결된 곳에서는 특정 사진(Photo)을 보기 위하여 [View Photo] 버튼을 클릭하도록 유도하고 있으며, 해당 버튼을 클릭할 경우 n11975310_09.JPG-www.facebook.exe 파일이 다운로드되는 것을 확인할 수 있습니다.

다운로드된 파일의 아이콘은 그림 파일 모양으로 구성되어 Windows 기본값 폴더 옵션으로 사용하는 사용자의 경우 그림 파일로 오해하여 바로 실행할 수 있습니다.

해당 n11975310_09.JPG-www.facebook.exe (SHA1 : ac0af65ec415c7257a38e3b451ed28d68145fb86) 파일에 대하여 현재 BitDefender 계열 보안 제품에서만 GenPack:Generic.Malware.SFYdC.4F2F839F (VirusTotal : 8/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 등록 정보]

C:\WINDOWS\nvsvc32.exe

[생성 레지스트리 등록 정보 : 시작 프로그램 등록값]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
 - NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe

해당 악성코드가 생성하는 nvsvc32.exe 파일은 원래 정상적인 NVIDIA 그래픽 드라이버와 파일명이 동일하게 구성하여 원래 설치되는 [C:\WINDOWS\system32\nvsvc32.exe] 경로가 아닌 [C:\WINDOWS\nvsvc32.exe] 위치에 생성하여 사용자에게 혼동을 유발하고 있습니다.

또한 시스템 시작시 자동 실행을 위해 [NVIDIA driver monitor] 시작값으로 레지스트리에 등록하고 있습니다.

감염된 시스템은 Windows 보안 업데이트 서비스 중지, 방화벽 허용을 통한 보안 무력화, 다수의 특정 DNS 서버 접속을 통한 추가적인 악의적 동작이 예상됩니다.

그러므로 메신저를 통해 친구 관계일지라도 수상한 URL을 제시할 경우에는 함부로 접속하여 파일을 다운로드하지 않도록 주의하시기 바랍니다.