MSN 메신저 '이 사진을 봐'는 악성 코드, '절대 확인 금지' N
No.1096129친구의 메시지로 위장해 악성코드 감염 유도
[보안뉴스 오병민] 최근 MSN메신저를 통해 악성코드가 유포되는 것으로 알려져 이용자들의 주의가 당부되고 있다. 안철수연구소는 최근 MSN메신저에서 “이 사진을 봐”라는 메시지를 통해 악성코드 감염이 가능한 URL이 전파되고 있어 주의가 필요하다고 밝혔다.
해당 악성코드는 MSN 친구로 등록된 지인의 메시지를 통해 전파되고 있어 빠르게 확산되고 있다.
해당 악성코드는 메신저 친구에게 “이사진을 봐”라는 메시지와 함께 사진을 다운받을 수 있는 URL을 대화창에 표기해 사용자들에게 URL을 클릭을 유도한다.
해당 URL을 통해 파일을 다운로드 하면 DSC002502011.JPG.scr 파일이 다운로드되고 사진파일로 위장하고 있기 때문세 사용자들은 실행할 가능성이 높다.
해당 사진파일이 실행되면 악성파일인 ‘kbn.exe’를 자동으로 다운 받아 다운로드 된 파일은 ‘%사용자 계정&\Microsoft-Driver-랜덤숫자\winrsvn.exe’로 저장되는 것으로 분석됐다.
이렇게 저장된 winrsvn.exe 파일은 공격자가 명령한 악성 명령을 수행할 수 있는 봇(Bot)기능을 가지고 있다. 윈도우시스템에 침투된 이 파일은 IRC (216.157.22.141:5500)으로 접속해 방장(OP)로부터 명령을 받아 명령을 수행하게 된다.
그리고 MSN메신저에 등록된 친구들에게 위에서 받은 악성 메시지를 다시 전달하게 된다. 전달되는 악성 메시지는 “이사진을 봐”라는 메시지뿐만 아니라 “tell me what you think of this photo”나 “findest du das foto?”등 다양한 언어와 패턴을 가지고 있으며 악성코드 유포주소 링크도 함께 포함돼 있다.
이에 대해 안철수연구소 측은 현재 V3 제품군에서는 ‘Win-Trojan/Downloader.38912.DG’과 ‘Win-Trojan/Downloader.18944.MJ’의 진단명으로 진단이 가능하도록 패턴을 추가했다고 밝혔다.
안철수연구소 이호웅 시큐리티대응센터장은 "메신저로 전달되는 주소를 함부로 클릭하지 말고, 클릭했더라도 파일을 실행하지 말아야 한다. 최신 버전의 V3를 사용하면 예방 및 치료할 수 있다."며 "최근 이처럼 메신저나 트위터를 비롯한 SNS를 이용해 악성코드가 유포되는 사례가 급증하고 있다. 특정 웹사이트 접속이나 파일 다운로드를 유도하는 메시지를 받았을 경우 함부로 클릭하지 말고 발신자에게 확인하는 등 유의가 필요하다."라고 설명했다.
[오병민 기자(boan4@boannews.com)]
이전글