본문 바로가기
보안경고 & et cetra

메신저 링크를 함부로 클릭했을 때 일어나는 일

by 글벌레 2009. 10. 5.
반응형

최근에도 네이트온으로 온 링크를 클릭 시 설치되는 악성코드가 확산되고 있다는 보안 경고가 있었습니다.
현재 해당 주소로는 접속이 불가하고,
해당 주소의 리다이렉트 URL에 악성코드 파일도 존재하지는 않지만,
앞으로도 이런 일은 자주 벌어질 것 같으므로
오늘 한 번 메신저로 온 링크를 함부로 클릭 시 일어나는 일에 대하여 알아보기로 합니다. 

네이트온을 통해서 보내져 온

란  주소를 클릭했는데 자동 실행 압축 파일이 다운로드되면서 
시스템에 악성코드가 설치되었다고 합니다.

위에 언급한 링크를 클릭 시 다음과 같이 리다이렉트되어서



see.scr 이란 악성코드를 다운로드받게 되는 것입니다.

참고 : 리다이렉트란? 사용자가 어떤 URL을 클릭 시
                                클릭한 URL의 소스 코드 스크립트에 리다이렉트 명령어가 쓰여진 등의 이유로
                                실제로는
                                클릭한 URL이 아닌 다른 URL로 이동되어지는 것. 

만약 위에 보여진 대로 리다이렉트되어
see.scr을 받은 경우 해당 파일에 대한 악성코드 검사 결과는 아래와 같습니다.

 

검사 파일: see.scr 전송 시각: 2009.09.27 23:50:42 (UTC)
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.27 -
AhnLab-V3 5.0.0.2 2009.09.26 -
AntiVir 7.9.1.27 2009.09.28 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.09.27 -
Authentium 5.1.2.4 2009.09.27 -
Avast 4.8.1351.0 2009.09.27 Win32:Trojan-gen {Other}
AVG 8.5.0.412 2009.09.27 Generic14.ANEM
BitDefender 7.2 2009.09.28 Trojan.Generic.1956416
CAT-QuickHeal 10.00 2009.09.26 -
ClamAV 0.94.1 2009.09.27 -
Comodo 2456 2009.09.28 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.09.28 Trojan.MulDrop.32998
eSafe 7.0.17.0 2009.09.24 Suspicious File
eTrust-Vet 31.6.6763 2009.09.27 -
F-Prot 4.5.1.85 2009.09.27 -
F-Secure 8.0.14470.0 2009.09.28 Trojan-Dropper.Win32.Agent.bchv
Fortinet 3.120.0.0 2009.09.27 PossibleThreat
GData 19 2009.09.28 Trojan.Generic.1956416
Ikarus T3.1.1.72.0 2009.09.27 Virus.Win32.Gamona
Jiangmin 11.0.800 2009.09.27 Trojan/Agent.ctry
K7AntiVirus 7.10.855 2009.09.26 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.09.28 Trojan-Dropper.Win32.Agent.bchv
McAfee 5754 2009.09.27 Generic.dx!feu
McAfee+Artemis 5754 2009.09.27 Generic.dx!feu
McAfee-GW-Edition 6.8.5 2009.09.28 Trojan.Crypt.XPACK.Gen
Microsoft 1.5005 2009.09.23 VirTool:Win32/Obfuscator.GE
NOD32 4462 2009.09.27 a variant of Win32/Kryptik.NX
Norman 6.01.09 2009.09.26 W32/Obfuscated.A2!genr
nProtect 2009.1.8.0 2009.09.27 Trojan/W32.Agent.147523
Panda 10.0.2.2 2009.09.27 W32/Spamta.QO.worm
PCTools 4.4.2.0 2009.09.27 -
Prevx 3.0 2009.09.28 Medium Risk Malware
Rising 21.48.62.00 2009.09.27 Packer.Win32.Agent.bd
Sophos 4.45.0 2009.09.28 Mal/Behav-066
Sunbelt 3.2.1858.2 2009.09.27 -
Symantec 1.4.4.12 2009.09.28 Infostealer.Gampass
TheHacker 6.5.0.2.019 2009.09.26 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1094 2009.09.25 Cryp_Xed-3
VBA32 3.12.10.11 2009.09.27 BScope.Trojan.8171722
ViRobot 2009.9.26.1958 2009.09.26 -
VirusBuster 4.6.5.0 2009.09.27 -
 
추가 정보
File size: 147523 bytes
MD5   : 7a8beb78757fe1f9cb6bc39a1ab50532
SHA1  : 0512077577b8ed0a7b0c25f5ab0a72e4c01ee270
SHA256: 067aec36880825dfda28657377e93ee9ff9a548c1bb1c2acd6bf6b011b9fcae0

 

한가지 아쉬운 점은 위에 말씀드린 거처럼 

see.scr의 리다이렉트 다운로드 링크가 더 이상 유효하지 않아 
제가 직접 이 악성코드 샘플을 다운로드받지는 못한 점이지만,

네이트온 등의 메신저로 오는 링크를 클릭 시 시스템에 설치되는 악성코드는 비슷한 양상을 보이므로
이제 그에 대하여 정리해 보고자 합니다.

       메신저로 오는 링크를 함부로 클릭해 악성코드가 다운로드되었을 때 벌어지는 일


메신저로 오는 링크를 클릭했을 때 다운로드되는 파일의 형태는 주로 화면보호기 설치 파일 형식입니다.

즉, 해당 링크를 클릭 시 자동 실행 파일인 .SCR이 다운로드되어 화면 보호기를 설치합니다.

이 화면 보호기는 시작 프로그램에 등록이 되어 다음번 재부팅 시 
실행이 되면서 파일들을 생성하는데 
이 파일들은 키로거, 하이재커 그리고 화면 보호기에서 출력되는 그림 파일등으로 구성이 되어 있습니다.

키로거와 하이재커 등은 explorer.exe로 인젝션되면서 
사용자의 키 값을 가로채 감으로써 계정 탈취가 일어날 수도 있고,
또한 그러한 계정 탈취로 인하여 피싱의 단초가 될 수도 있습니다.

또한 감염된 시스템으로부터 다른 메신저 사용자로
계속 감염 링크를 메신저 메시지로 보내는 일도 병행됩니다.

만약 explorer.exe로 인젝션된 파일들을 제거한다고 하여도
화면 보호기가 제거되지 않는 한 
시스템은 재부팅될 때마다 화면 보호기가 실행되면서 악성 파일들이 생성되고
이 화면 보호기 실행 파일이 생성하는 배치 파일이 실행되면서
생성된 악성 파일들에게 나쁜 짓을 하도록 종용합니다.

이를 알기 쉽게 도식화 해본다면 아래와 같습니다 .


그러므로 이러한 악성코드에 감염되었을 시 그 대처법은 

1. 시작 프로그램에 등록된 화면 보호기 관련 run 레지스트리 정보를 삭제해야 합니다.
2. explorer.exe로 악성 파일들을 인젝션하는 레지스트리 정보들을 삭제해야 합니다.
3. 관련 파일들을 삭제해야 합니다 .

대처법에 대하여는 아래 예전 제 글들 중
역시 메신저 악성코드였던 kr.jpg.scr 에 대한 분석과 그 대처법을 써놓은 것을 읽어 보시면
더욱더 감이 오실 겁니다 .

2009/02/28 - [Malwares 분석] - kr.jpg.scr
2009/03/02 - [카테고리外] - kr.jpg.scr에 대한 대처법

여기까지입니다 ^ ^*

주의 - 이러한 악성코드 감염은 
          이메일이나 게시판에서의 링크 클릭으로도 일어날 가능성을 배제할 수는 없으므로
          링크를 클릭할 때는 항상 주의하고 한 번 더 생각해 보아야 합니다.

반응형

댓글