'에스지어드밴텍'에 해당되는 글 2

  1. 2009/12/24 크리스마스 겨냥 악성 이메일 주의
  2. 2009/10/14 전파기능 추가된 감염형 바이러스 발견

크리스마스를 겨냥한 악성코드가 올해에도 어김없이 나타났습니다.

에스지어드밴텍, 잉카인터넷 등 보안업체들은 23일부터 크리스마스 축하카드로 위장된 악성 이메일이 국내에서 발견됐다면서 사용자들의 각별한 주의를 당부하고 있습니다.

이 이메일에는 악성코드가 첨부돼 있으니, 클릭하지 마시고 수상한 이메일은 삭제해야 합니다.

오늘, 내일뿐만 아니라 연말연시 계속해서 이같은 악성 이메일, 악성코드가 발생할 수 있으므로 백신 업데이트와 실시간 감시 등 보안에 신경써야 할 것으로 보입니다.

다음은 잉카인터넷 시큐리티대응센터(ISARC)에서 분석한 악성코드 이메일 분석 내용입니다.

국내에 유입된 것이 확인된 이번 이메일은 다음과 같이 발신인 등이 정상적인 크리스마스 축하 카드처럼 교묘하게 위장되어 있으며, 악성코드가 첨부파일에 압축된 상태로 포함되어 존재한다.

보낸 사람 : e-cards@123greetings.com
메일 제목 : You have received a Christmas Greeting Card!
첨부 파일 : Christmas Card.zip (382,011 바이트)

이메일 본문에는 다양한 플래시 파일이 링크되어 보여질 수 있다.

http://c.123g.us/flash/branded_loader.swf
http://i.123g.us/c/edec_c_newjingle/card/113366.swf
http://i.123g.us/c/edec_c_newjingle/card/113413.swf
http://i.123g.us/c/edec_c_newjingle/card/105278.swf



이메일에 첨부되어 있는 압축파일(Christmas Card.zip) 내부에 Christmas Card.chm(공백) .exe 이름의 실행 파일이 포함되어 있다.

압축 해제 후 사용자가 보기에 .chm 확장자 이후 약 60여개의 공백을 포함하고 있어 실행파일(exe)이 아닌 것처럼 오인하도록 위장된 상태이다.

압축 내부에 포함된 악성코드 파일은 2009년 12월 23일 날짜로 등록된 것을 확인할 수 있으며, 아이콘은 크리스마스 트리 장식 모양을 하고 있다.



해당 파일이 실행되어 컴퓨터가 감염될 경우 시스템 폴더에 wmimngr.exe, wpmgr.exe 라는 이름의 2개의 파일이 생성된다.


실행된 악성코드는 SMTP 를 통해서 Mass Mailer 기능 등이 수행된다.



 

2009/12/24 10:40 2009/12/24 10:40

바이러스 전파기능이 추가된 신종 파일감염형 바이러스가 13일 발견돼, 백신업체 에스지어드밴텍('바이러스체이서' 공급사)이 14일부터 긴급 전용백신 배포에 나섰다. (관련기사  전파기능 추가된 감염형 파일바이러스 주의)

이 바이러스의 진단명은 ‘Win32.Sysbox’이다.

에스지어드밴텍에 따르면, 이 바이러스는 모든 실행파일을 감염시키는 파일 감염형이지만 웜과 결합해 계속적으로 바이러스를 전파하기 때문에 감염이 크게 확산될 수 있다는 위험이 있다. 기존에 발견된 웜에서 파일 감염 동작을 수행한다.

기존 감염형 바이러스는 전파 기능은 없었다.

이 바이러스가 최초 발견된 어제, 세네 건의 신고가 에스지어드밴텍에 접수됐다고 한다.

다음은 에스지어드밴텍에서 제공한 바이러스 동작 특징 분석 내용이다.

<정상 *.exe 파일 감염>
ㅇ Win32.Sysbox 에 감염 시스템은 사용자 시스템에 존재하는 정상 *.exe파일에 자신의 코드를 추가해 정상파일을 감염/전파한다.

[##_1C|1163230540.1347541d4ad56eb3af0fee.jpg|width="500" height="402" alt="" filename="1.jpg" filemime="image/jpeg"|_##]
<설치/특징>
ㅇ Win32.Sysbox 에 감염되면, 아래와 같은 경로에 파일을 생성한다.
%USERPROFILE%\LOCALS~1\Temp\TempAdv.dll
%USERPROFILE%\LOCALS~1\Temp\TempLog.txt
%system%\dllcache\systembox.bak
%system%\twain.dll
%system%\AsynCom.sys
C:\WINDOWS\TEMP\Nettemp.dll
* 기본적인 윈도우 시스템 폴더(%system%)
- Windows 9X/ME/XP: %Windir%\SYSTEM
- Windows NT/2000: C:\Winnt\system32
- Windows XP: %Windir%\system32
* 기본적인 윈도우 폴더(%USERPROFILE%)
-Windows NT/2000: C:\Documents and Settings\[사용자계정이름]
-Windows XP: C:\Documents and Settings\[사용자계정이름]

전용백신 다운로드는 www.viruschaser.com에서 하면 된다.

2009/10/14 15:27 2009/10/14 15:27