2012.03.03
안녕하세요. 안랩인입니다. 자신도 모르는 사이에 누군가 나를 지켜보고 있다면? 생각만해도 소름 끼치는 일입니다. 노트북에 달려있는 카메라나 PC에 연결된 웹캠을 이용하여 감염된 PC의 사용자를 도촬하는 악성코드가 발견되었습니다. PC에 저장된 사용자 정보를 빼내거나, 시스템의 동작을 방해하는 다른 악성코드와는 달리 감염된 PC 사용자의 사생활을 그대로 노출시키는 악성코드이기 때문에 개인의 프라이버시에 커다란 위협이 되는 악성코드입니다.
해당 악성코드에 감염될 경우 러시아 URL로 접속하는 특성을 가진 것으로 보아 러시아에서 제작된 것으로 보입니다. 국내에서는 감염된 사례가 발견되지 않아 정확한 감염 경로를 파악하기는 어렵지만, 위치에 관계없이 어디든지 접속 가능한 인터넷의 특성상 해외사이트를 주로 이용하는 사용자의 경우 각별한 주의가 요구됩니다.
해당 악성코드에 감염될 경우 다음과 같은 파일을 생성합니다.
C:\Documents and Settings\Administrator\Local Settings\Temp\
Run***_*****64.dll, run***_.exe, run***_.log, run***_dll.sid, run***_.bat
run***_*****64.dll 파일을 열어보면 그림 1과 같이 시작프로그램에 등록하기 위한 레지스트리에 등록하기 위한 명령어를 포함하고 있습니다. 확장명은 dll이지만 실제로는 텍스트 파일입니다. 이 명령을 통해 시작프로그램에 등록되어 사용자가 PC를 켤 때마다 악성코드가 동작하게 됩니다.
run***_.bat 파일은 최초 실행된 악성코드를 C:\Documents and Settings\Administrator\Local Settings\Temp\ 경로로 복사하는 기능을 수행합니다. 파일에 저장된 내용은 그림 2와 같습니다.
run***_dll.sid 파일은 감염된 PC를 식별하기 위해 그림 3과 같이 무작위로 생성된 문자열을 저장합니다.
run***_.log 파일은 악성코드 동작 과정을 그림 4와 같이 log 파일에 기록합니다.
로그 파일을 확인해 보면 동작과정은 다음과 같습니다.
1) 악성코드 파일을 C:\Documents and Settings\Administrator\Temp\ 경로에 복사
2) 감염된 PC의 식별자 정보 생성 후 파일로 저장
3) 촬영한 사진을 전송할 서버 설정 후 카메라로 촬영한 BMP 파일을 저장
4) 타이머 설정 (59000ms = 1분)
5) 사용자 PC의 OS버전, 사용자 정보, PC이름, SID 정보 등을 지정된 서버로 전송
6) 서버에서 전송 될 다음 명령 수신 대기
위의 서버의 URL이 ru로 끝나는 것을 알 수 있다. ru는 러시아를 나타내는 도메인이다. <Ahn>
* 더 자세한 내용은 ASEC홈페이지를 참고하세요
'AhnLab 보안in' 카테고리의 다른 글
| 안랩에서 알려주는 DDoS 공격 기법의 진화 (0) | 2020.04.15 |
|---|---|
| 안랩에서 알려주는 앱보다 많은 모바일 악성코드의 '위협' (0) | 2020.04.14 |
| 스마트폰의 문자메시지로 전달된 단출 URL (0) | 2020.04.14 |
| Windows Vista, 7 사용자를 대상으로 감염시키는 온라인 게임핵 악성코드 발견 (0) | 2020.04.14 |
| 사용자 PC의 문서파일을 탈취하는 악성코드 발견 (0) | 2020.04.14 |
