본문 바로가기

벌새::Security

Windows 악성 소프트웨어 제거 도구 : 2011년 9월(KB890830) - Win32/Kelihos

반응형
마이크로소프트(Microsoft)사에서는 매월 정기 업데이트에 Windows 악성 소프트웨어 제거 도구(MRT)를 통해 전 세계적으로 이슈가 되는 악성코드 진단 및 치료를 지원하고 있습니다.

 

최근 2011년 9월 정기 업데이트에서는 Win32/Bamital 악성코드에 대한 진단을 추가하였으며, 오늘 2차 업데이트가 추가로 진행되었습니다.

 

 

이번 Windows 악성 소프트웨어 제거 도구(KB890830)에서는 Win32/Kelihos 악성코드에 대한 추가적인 진단이 포함되어 있습니다.

 

출처 : 마이크로소프트(Microsoft)

 

마이크로소프트(Microsoft)사의 매월 진단 통계 정보를 보시면 연말로 다가가면서 유포가 심해지는 것을 확인할 수 있습니다.

Win32/Kelihos 악성코드 유포 방식은 스팸(Spam) 이메일에 포함된 URL 링크를 클릭하여 악성 파일을 다운로드 및 실행시키도록 구성된 것으로 알려져 있습니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SmartIndex = (Win32/Kelihos 파일 경로)

감염된 PC에서는 시스템 시작시 시작 프로그램으로 등록하여 자동 실행되며, 원격 서버와 TCP 80 포트를 통해 암호화된 통신을 시도합니다.

이를 통하여 스팸 이메일 발송, 민감한 정보 수집, 추가적인 원격 코드 실행 등 다양한 기능을 수행하며, 통신 과정에서 다양한 User-Agent를 통해 보안 제품의 진단을 우회하고 있습니다.

 

  • C:\Windows\System32\packet.dll
  • C:\Windows\System32\wpcap.dll
  • C:\Windows\System32\drivers\npf.sys

특히 합법적인 Windows 패킷 캡쳐 드라이버 WinPcap 프로그램을 설치하여 사용자 PC에서 스파이 역할을 하는 특징을 가지고 있습니다.

그러므로 사용자는 매월 추가되는 Windows 악성 소프트웨어 제거 도구(MRT)를 통해 사용하시는 보안 제품과 더불어 함께 시스템 점검을 하시는 것도 보안 제품의 사용 습관이 아닐까 싶습니다.

728x90
반응형