반응형
국내 MSN 사용자에게 해외 SNS 서비스 Facebook 도메인으로 위장한 악성 URL을 통해 n11975310_09.JPG-www.facebook.exe 악성 파일을 유포하는 행위가 확인되었습니다.
참고로 예전부터 MSN 메신저를 통한 Facebook과 관련된 악성 파일 유포 행위가 꾸준하게 발견되고 있으므로 참고하시기 바랍니다.
[MSN 메신저 유포 URL 정보]
h**p://www.facebook.com/l.php?u=h**p://raw****.com/fb/&h=210ad&=(사용자 ID)@hotmail.com
h**p://www.facebook.com/l.php?u=h**p://raw****.com/fb/&h=210ad&=(사용자 ID)@hotmail.com
MSN 메신저 친구 관계 또는 익명을 통해 받게되는 URL에서는 Facebook 도메인을 앞에 위치하여 일반 사용자들이 속기 쉽게 구성되어 있으며, 실제 접속을 할 경우 document.location.replace(URL) 스크립트를 이용하여 악성 인터넷 페이지로 바꿔치기를 시도합니다.
해당 n11975310_09.JPG-www.facebook.exe (SHA1 : ac0af65ec415c7257a38e3b451ed28d68145fb86) 파일에 대하여 현재 BitDefender 계열 보안 제품에서만 GenPack:Generic.Malware.SFYdC.4F2F839F (VirusTotal : 8/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 등록 정보]
C:\WINDOWS\nvsvc32.exe
[생성 레지스트리 등록 정보 : 시작 프로그램 등록값]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
- NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
C:\WINDOWS\nvsvc32.exe
[생성 레지스트리 등록 정보 : 시작 프로그램 등록값]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
- NVIDIA driver monitor = C:\WINDOWS\nvsvc32.exe
또한 시스템 시작시 자동 실행을 위해 [NVIDIA driver monitor] 시작값으로 레지스트리에 등록하고 있습니다.
감염된 시스템은 Windows 보안 업데이트 서비스 중지, 방화벽 허용을 통한 보안 무력화, 다수의 특정 DNS 서버 접속을 통한 추가적인 악의적 동작이 예상됩니다.
그러므로 메신저를 통해 친구 관계일지라도 수상한 URL을 제시할 경우에는 함부로 접속하여 파일을 다운로드하지 않도록 주의하시기 바랍니다.
728x90
반응형