1. 증상
1). 동의절차 없이 설치
2). 정상 MS 프로그램으로 위장 자신의 복제 본을 설치 있다.( svchost.exe )
3). 특정 URL 주소를 받아 원치 않는 인터넷 페이지를 수시로 화면에 표시 한다.
- 게임 및 성인 광고물을 보여 클릭을 유도 한다.
- 개인 정보 및 기타 민감한 정보를 유출 할 수 있다.
4). 설치 완료 후 설치파일 자동 삭제
2. 생성 파일 및 레지스트리
C:\Program Files\Common Files\Services\svchost.exe
C:\Documents and Settings\JHK\Favorites\乖갖꿨MM.url
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y21B03AB-B921-11D2-9CBD-0000F87A216E}
출처 : 보안뉴스
일시 : 2010-09-28
저장된 패스워드 유출시킨 후 미국 시카고에 위치한 서버로 전송
[보안뉴스 김정완] 아이폰 iOS 4.1 버전의 탈옥(Jailbreak) 도구를 가장한 파일에서 패스워드를 빼내어 미국 시카고에 위치한 서버로 전송하는 악성코드가 발견됐다.
이스트소프트(대표 김장중)에 따르면, 이 악성코드는 아이폰 iOS 4.1 탈옥 수행을 가장한 파일에 내장돼 있으며, 이들 악성코드가 주로 MSN 메신저와 구글 토크(Google Talk), 아웃룩, IE의 자동 완성 패스워드 등을 유출해 미국 시카고에 위치한 서버로 전송하는 역할을 수행한다.
주로 P2P 파일 공유 프로그램과 블로그, 홈페이지 등을 통해 유포되는 이번 악성코드는 아이폰 4.1의 탈옥을 시도하려는 사용자가 첨부된 파일을 실행했을 때 가짜 아이폰 탈옥 프로그램이 함께 실행되면서 PC에 설치된다.
PC에 설치된 이후에는 PC에 저장된 MSN 메신저와 구글 토크, 아웃룩, IE의 자동 완성 패스워드들을 유출해 미국 시카고에 위치한 서버로 전송시킨다.
특히 악성코드 제작자가 아이폰 4.1의 탈옥 여부를 증명하기 위해 증거 동영상과 사진 캡쳐를 올려둔 치밀한 점도 보였지만, 실제 다운로드 받은 파일에서는 이른바 벽돌 상태의 아이폰을 복원시키는 가짜 탈옥 프로그램으로 드러났다.
출처 : 보안뉴스
일시 : 2010-09-27
페이스북 쪽지로 전달되는 URL 접속 시 가짜백신 등 설치
[보안뉴스 김정완] 최근 유명 SNS(Social Network Service)인 페이스북을 통해 악성코드를 유포하는 단축 URL이 전달되는 쪽지가 유포되고 있는 것으로 파악돼 국내 이용자들의 각별한 주의가 필요하겠다.
이 페이스북 쪽지는 ‘Hi’, ‘Aloha’, ‘:-D’, ‘Hello’ 등의 메시지와 함께 단축 URL이 전달되는데, 이 URL을 클릭하면 동영상을 볼 수 있는 웹 페이지로 접속된다. 특히 여기서 동영상을 보기 위해 코덱을 설치하라는 메시지가 뜨는데, 이때 해당 프로그램(setup902674.exe)을 설치하게 되면 ‘Windows Security Alert’라는 가짜백신 등의 파일이 잇달아 다운로드된다. 또한 등록된 친구들에게도 동일한 메시지가 전파된다.
이에 이러한 페이스북을 통한 쪽지로 악성코드를 유포하는 단축 URL이 전달되고 있는 것을 경고한 안철수연구소(대표 김홍선)는 “이러한 형태는 지난 8월 초부터 영국 등지에서 유포된 형태와 유사하며 국내에서는 처음 대량 유포된 것”이라며 이용자들의 주의를 당부했다.
|
