2010.02.12 발렌타인 데이 겨냥한 악성코드 등장

발렌타인 데이를 앞두고 이와 관련된 그림으로 위장한 악성코드가 지난 1월 28일 외국에서 발견되었습니다. 이 악성코드는 비프로즈(Bifrose)의 변형입니다.

안철수연구소 시큐리티대응센터(ASEC)의 분석에 따르면 이 악성코드는 RARSfx로 압축되어 있으며, 실행을 하면 실행된 해당 폴더에 이미지 파일들과 함께 숨김 속성을 가진 82.exe(160,213 바이트) 파일이 생성됩니다.

 

생성된 이미지 중에는 아래와 같이 발렌타인 데이와 관련된 이미지도 있습니다.

 

이 밖에 아래 피아노, 장미꽃 등 이미지 파일의 압축 파일로 위장하고 있습니다.

 

그리고 감염된 사용자 모르게 백그라운드로 숨김 속성으로 생성된 82.exe(160,213 바이트)를 실행시켜 다음 경로에 다른 악성코드를 생성합니다.

 

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(57,917 바이트)

 

생성된 server.exe(57,917 바이트)은 윈도우 시스템에 존재하는 정상 파일인 Explorer.exe의 특정 메모리 영역에 자신의 코드를 덮어쓰고 다음의 경로에 자신의 복사본을 만듭니다.

 

C:\WINDOWS\system32\Bifrost\server.exe(57,917 바이트)

 

그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행될 때 해당 악성코드가 다시 실행되도록 합니다. 자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드로 실행시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도합니다.

 

해당 악성코드가 특정 시스템으로 접속하면 다음의 악의적인 기능들을 수행합니다.

 

사용자 키보드 입력 후킹
사용자 마우스 입력 후킹
메신저 사용자 정보 및 암호 후킹
클립보드 정보 후킹
특정 보안 제품 프로세스가 실행 중일 경우 강제 종료
가상 키보드 입력 후킹
원격 제어

 

V3 제품군은 이 악성코드를 Dropper/Bifrose.693626, Win-Trojan/Midgare.32256로 진단합니다. 특정 시즌이 되면 사람들의 관심사를 이용해 유포되는 악성코드가 어김없이 등장해 사용자를 현혹하니 주의하시기 바랍니다. Ahn