본문 바로가기

벌새::Analysis

티스토리(Tistory) 유입경로를 통한 악성코드 유포 (1)


최근 티스토리의 유입경로 로그를 보시면 수상한 해외 블로그 또는 웹사이트에서 접속한 흔적을 심심찮게 확인할 수 있습니다.

이는 로봇을 통한 특정 검색어를 통해 자동으로 검색되어져서 접속을 하는 것으로 보입니다.

nccyvjqe.tigblog.org
bfdovkay.tigblog.org


특히 접속 주소가 위와 같이 수시로 변경되면서 접근하는 것을 확인할 수 있습니다.

이러한 주소에 접속을 통해 어떤 활동을 하는지 살펴보겠습니다.


해당 주소는 특정 블로그로 연결이 되며 해외 유명 연예인의 음란 비디오를 다운로드 할 수 있는 것처럼 위장하여 악성코드가 포함된 파일을 다운로드하게 하고 있습니다.


실제 파일을 다운로드하기 위해 클릭을 할 경우 특정 웹사이트로 연결되어 최근 Zlob Family를 사용자 컴퓨터에 다운로드 시킵니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.29 DR/Zlob.Gen
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.29 Win32:Zlob-CGB
AVG 8.0.0.161 2008.08.29 -
BitDefender 7.2 2008.08.30 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.30 Trojan.Dropper-2529
DrWeb 4.44.0.09170 2008.08.29 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.29 -
F-Prot 4.4.4.56 2008.08.29 -
F-Secure 7.60.13501.0 2008.08.30 -
Fortinet 3.14.0.0 2008.08.30 -
GData 19 2008.08.30 Trojan-Downloader.Win32.Zlob.xhm
Ikarus T3.1.1.34.0 2008.08.30 -
K7AntiVirus 7.10.432 2008.08.29 -
Kaspersky 7.0.0.125 2008.08.30 Trojan-Downloader.Win32.Zlob.xhm
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/Zlob.gen!BR
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.29 -
PCTools 4.4.2.0 2008.08.29 -
Prevx1 V2 2008.08.30 Malware Dropper
Rising 20.59.50.00 2008.08.30 -
Sophos 4.33.0 2008.08.30 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.30 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.29 -
VBA32 3.12.8.4 2008.08.29 suspected of Downloader.Zlob.3 (paranoid heuristics)
ViRobot 2008.8.29.1355 2008.08.29 -
VirusBuster 4.5.11.0 2008.08.29 -
Webwasher-Gateway 6.6.2 2008.08.29 Trojan.Dropper.Zlob.Gen
Additional information
File size: 78785 bytes
MD5...: 9a3e13c7a35aa8097d76ac55db4b624b
SHA1..: 3fd59c18ab221a1ce62e1983dffa2b1396d320d6


해당 악성코드는 설치시 위와 같이 온라인 서비스 툴로 위장하여 별 의심없이 설치될 수 있습니다.

설치된 악성코드는 특정 서버와의 연결을 통해 추가적으로 악의적 프로그램을 다운로드할 수 있습니다.

추가적으로 해당 창을 닫을 경우 해외에서 유명한 악성코드 유포 웹사이트로 알려진 PornTube(YouTube의 아류작)로 연결하고 있습니다.


해당 사이트 역시 마치 동영상을 볼 수 있는 것처럼 꾸며 두었지만 해당 영상을 클릭하면 특정 코덱이나 Flash Player 등을 설치해야 한다는 방식으로 사용자의 컴퓨터를 감염시킬 설치 파일을 다운로드 시킵니다.

실제로 국내에서도 특정 동영상 서비스를 받기 위해서는 해당 업체에서 제공되는 프로그램을 설치해야 하는 경우가 있듯이 큰 부담없이 호기심에 설치하는 일이 없도록 하시기 바랍니다.