반응형
최근 각종 행사나 기념일을 포적으로 하는 Waledac(일명 Iksmas) 트로이목마가 유포되고 있는 실정입니다.
특히 작년 연말, 새해, 미국 대통령 취임식, 발렌타인 등을 이용하여 다양한 변종이 유포되고 있는 것으로 보입니다.
유포 방식은 이메일이나 특정 악의적인 링크를 통해 위와 같은 하트 모양의 그림 파일이 존재하는 사이트에 접속하여 다양한 형태의 파일명을 가진 트로이목마를 다운로드하게 만들고 있습니다.
you.exe / love.exe / meandyou.exe 파일 등 파일명은 다양하게 존재하는 것으로 보입니다.
변종일 경우 해외 유명 보안 제품 역시 Generic 진단을 제외하고는 제대로 진단하는 제품을 찾기 힘들어 보입니다.
전 세계 다양한 서버와 연결되는 것을 보면 광범위하게 유포되고 감염된 상태임을 추정할 수 있습니다.
악성코드의 유포 방식 중의 하나가 특정일, 사건 등을 이용하는 방식이 사용되고 있으므로 신뢰할 수 없는 이메일 또는 사이트에서 제공하는 파일은 다운로드하여 실행하지 않도록 주의하시기 바랍니다.
특히 작년 연말, 새해, 미국 대통령 취임식, 발렌타인 등을 이용하여 다양한 변종이 유포되고 있는 것으로 보입니다.
유포 방식은 이메일이나 특정 악의적인 링크를 통해 위와 같은 하트 모양의 그림 파일이 존재하는 사이트에 접속하여 다양한 형태의 파일명을 가진 트로이목마를 다운로드하게 만들고 있습니다.
you.exe / love.exe / meandyou.exe 파일 등 파일명은 다양하게 존재하는 것으로 보입니다.
| Antivirus | Version | Last Update | Result |
| a-squared | 4.0.0.93 | 2009.01.29 | - |
| AhnLab-V3 | 5.0.0.2 | 2009.01.29 | - |
| AntiVir | 7.9.0.60 | 2009.01.29 | - |
| Authentium | 5.1.0.4 | 2009.01.28 | W32/Waledac.2!Generic |
| Avast | 4.8.1281.0 | 2009.01.28 | - |
| AVG | 8.0.0.229 | 2009.01.29 | - |
| BitDefender | 7.2 | 2009.01.29 | Trojan.Waledac.Gen.1 |
| CAT-QuickHeal | 10.00 | 2009.01.29 | - |
| ClamAV | 0.94.1 | 2009.01.29 | - |
| Comodo | 952 | 2009.01.29 | - |
| DrWeb | 4.44.0.09170 | 2009.01.29 | - |
| eSafe | 7.0.17.0 | 2009.01.29 | - |
| eTrust-Vet | 31.6.6334 | 2009.01.29 | - |
| F-Prot | 4.4.4.56 | 2009.01.28 | W32/Waledac.2!Generic |
| F-Secure | 8.0.14470.0 | 2009.01.29 | - |
| Fortinet | 3.117.0.0 | 2009.01.29 | - |
| GData | 19 | 2009.01.29 | Trojan.Waledac.Gen.1 |
| Ikarus | T3.1.1.45.0 | 2009.01.29 | - |
| K7AntiVirus | 7.10.609 | 2009.01.29 | - |
| Kaspersky | 7.0.0.125 | 2009.01.29 | - |
| McAfee | 5509 | 2009.01.28 | - |
| McAfee+Artemis | 5509 | 2009.01.28 | - |
| Microsoft | 1.4205 | 2009.01.29 | - |
| NOD32 | 3811 | 2009.01.29 | - |
| Norman | 6.00.02 | 2009.01.29 | - |
| nProtect | 2009.1.8.0 | 2009.01.29 | - |
| Panda | 9.5.1.2 | 2009.01.29 | - |
| PCTools | 4.4.2.0 | 2009.01.29 | - |
| Prevx1 | V2 | 2009.01.29 | Cloaked Malware |
| Rising | 21.13.42.00 | 2009.01.23 | - |
| SecureWeb-Gateway | 6.7.6 | 2009.01.29 | Trojan.LooksLike.Pakes |
| Sophos | 4.38.0 | 2009.01.29 | - |
| Sunbelt | 3.2.1835.2 | 2009.01.16 | - |
| Symantec | 10 | 2009.01.29 | W32.Waledac |
| TheHacker | 6.3.1.5.232 | 2009.01.29 | - |
| TrendMicro | 8.700.0.1004 | 2009.01.29 | - |
| VBA32 | 3.12.8.11 | 2009.01.29 | - |
| ViRobot | 2009.1.29.1580 | 2009.01.29 | - |
| VirusBuster | 4.5.11.0 | 2009.01.28 | - |
| Additional information | |||
| File size: 392704 bytes | |||
| MD5...: 7232751c59610f4e06dd16ec9d623a79 | |||
| SHA1..: 8f5a9f82243f01f33e008da19e386ed6b0a4afc5 | |||
변종일 경우 해외 유명 보안 제품 역시 Generic 진단을 제외하고는 제대로 진단하는 제품을 찾기 힘들어 보입니다.
[레지스트리 생성]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- PromoReg = 경로 및 파일명
■ 특정 포트(Port) 오픈 및 원격 서버 접속을 통한 사용자 정보 유출
213.xx.5.156:80 (네덜란드)
70.xxx.176.215:80 (미국)
84.xx.228.132:80 (독일)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- PromoReg = 경로 및 파일명
■ 특정 포트(Port) 오픈 및 원격 서버 접속을 통한 사용자 정보 유출
213.xx.5.156:80 (네덜란드)
70.xxx.176.215:80 (미국)
84.xx.228.132:80 (독일)
전 세계 다양한 서버와 연결되는 것을 보면 광범위하게 유포되고 감염된 상태임을 추정할 수 있습니다.
악성코드의 유포 방식 중의 하나가 특정일, 사건 등을 이용하는 방식이 사용되고 있으므로 신뢰할 수 없는 이메일 또는 사이트에서 제공하는 파일은 다운로드하여 실행하지 않도록 주의하시기 바랍니다.
728x90
반응형