고객센터
공지사항
[보안공지] 보스턴 마라톤대회 테러사건 동영상을 가장한 악성코드 발견
- 작성일
- 2013-04-17
- 조회수
- 4822
안녕하세요! 바이러스체이서
입니다.
보스턴 마라톤대회 테러사건 동영상을 가장한 악성코드가 17일(수) 발견하여
진단 현황을 안내해 드립니다.
이 악성코드는 “Explosions at Boston Marathon”라는 이메일
제목으로 URL 링크를 클릭 시 악성코드를 다운로드시켜 스팸메일을 불특정 다수에게 대량 발송되게 합니다.
현재 바이러스체이서 8.0은 최신 업데이트로 유지하시면 안전하게 차단하실 수 있으십니다.
<감염과정>
ㅇ Explosions at Boston
Marathon 이라는 제목으로 URL 링크가 첨부된 메일
전송
링크 클릭 시 악성파일이 포함된 홈페이지로
이동
ㅇ 보스턴 마라톤 실제 사고 정상 영상이 링크되어 있으며, 홈페이지 접속
후 자동으로 악성파일
다운로드
되도록 합니다
<이벤트 분석>
ㅇ 악성파일 실행 시 통신에 필요한 파일을 아래의 경로에 생성합니다.
- C:\\\\Documents and Settings\\\\Administrator\\\\바탕 화면\\\\tmp.exe
- C:\\\\WINDOWS\\\\system32\\\\Packet.dll
- C:\\\\WINDOWS\\\\system32\\\\wpcap.dll
- C:\\\\WINDOWS\\\\system32\\\\drivers\\\\npf.sys
ㅇ 윈도우 시작 시 실행되기 위하여 레지스트리에 등록합니다.
[HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run]
SonyAgent, C:\\\\Documents and
Settings\\\\Administrator\\\\바탕 화면\\\\boston.avi_______.exe
ㅇ 악성파일 실행 시 특정 IP에 접속을 시도합니다.
<접속 IP list, Port :
80>
- 90. <생략>.201.13
- 50. <생략>.238.103
- 199.<생략>.52.128
- 190.<생략>.245.46
-
- -
- 186.<생략>.166.44
- 108.<생략>.192.131
- 186.<생략>.175.13
ㅇ 25 Port를 사용하여 불특정 다수의
IP로 메일을 전송하며, 다수의 네트워크 트래픽을 유발합니다.(스팸 메일로 추정-SMTP
port)
<바이러스체이서 진단내역>
ㅇ 현재 바이러스체이서는 하기와 같이 진단합니다.
* 진단명 :
BackDoor.Slym.1498