페이스북 친구에게 악성코드가?

2012.05.22

 

안녕하세요. 안랩인입니다. 최근 페이스북을 통해 보안 제품을 무력화하는 악성코드가 유포 중인 것이 확인되었습니다. 이 악성코드는 사용자 몰래 페이스북 친구들에게 [표 1]의 형태로 메시지를 보내고 있습니다.

 

[표 1] 페이스북으로 전파되는 URL

 

[표 1]의 URL을 클릭하면 [그림 1]과 같이 압축 파일을 다운로드합니다. 해당 압축 파일은 [그림 2]와 같은 파일을 포함하고 있습니다.  

 

[그림 1] URL 클릭 시 보이는 다운로드 창

 

 

[그림 2] 압축 파일에 포함된 파일

 

 

[그림 2]의 파일명 외에도 [그림 3]과 같이 사람들의 호기심을 유발하는 이름으로 다운로드되기도 합니다.

 

 

[그림 3] 호기심을 유발하는 파일명 

 

다운로드된 파일을 실행하면 [그림 4]와 같은 구조로 파일이 실행됩니다.

 

[그림 4] 악성코드 실행 구조

 

이때 생성되는 파일은 다음과 같습니다.  

 

 

 

- C:\windows\iqs.exe
- C:\Documentsand Settings\Administrator\cookies\administrator@facebook[1].txt
- C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\3X2QCS5X\lmk[1].exe

 

또한 해당 악성코드는 다음의 보안 제품들을 무력화하는 기능을 가집니다.
 

[그림 5] 무력화 대상에 포함된 프로세스명

사용자들은 알 수 없는 웹 사이트 링크나 확인되지 않는 사용자로부터 수신된 메일에 연결된 링크를 함부로 클릭하지 않도록 주의해야 합니다. <Ahn>

 

 

 

[V3 제품군의 진단명]

- Worm/Win32.Stekct(2012.04.30)
- Trojan/Win32.Phorpiex(2012.04.29)