한동안 82를 뜨겁게(?)한 바이러스의 정체

[바이러스]

아는 동생녀석이.. 바이러스나 의심파일 있으면 보내보라해서 보냈더니.. 이런결과물을 내놨네요.

주요내용은 맨 아래 요약했습니다. 긴글 싫으시면 아래로 쭉쭉쭉~~


=====================================
CVE 취약점을 이용하는 악성코드입니다.


JS 파일은 다음과 같은 3가지 경로에 접속을 유도합니다.
1번 http://(생략)/ad/click.asp
2번 http://(생략/ad/ad.asp
3번 http://(생략)/ad/index.htm

1번은 모르겠고 2번페이지는 죽었고 3번페이지 접속하면 또다른 html 파일을 다운 받습니다.

해당 html 파일은 var 변수로 주소를 암호화 하여 저장해 놓았으며 모든 변수를 하나로 이어준 다음
%x값을 %u로 바꿔주고 UCS2 To hex로 복호화 하고, BD라는 키값을 이용하여 Xor해 주면

fhttp://(생략)/NetService/3p.exe

주소가 나타납니다.

파일을 다운로드 받아 바이러스토탈에 올리면 다음 과 같이 백신이 진단 합니다.

http://www.virustotal.com/file-scan/report.html?id=b9edf307364c514b0282bcd027...

JS파일이 백신이 자꾸 잡는 다고 보내주셨는데..

아마 사용하시는 사이트가 해킹당해서 악성코드 유포하는 중 일겁니다.

적어준 사이트에 제가 접속했을땐 사라진 상태였구요

요즘 주말에 사이트에 해킹당해서 악성코드가 엄청나게 배포되고 있습니다. 저번주엔 도시락 사이트로 털려서 악성코드가 유포되었고, 일부 미디어(인터넷 신문 특히 폴리뉴스-_-)사이트도 해킹당해서 네이냔,다음과 같이 간판 뉴스를 클릭할 경우 악성코드에 감염될 수 있습니다.

따라서 백신 및 보안패치를 할 것을 권해 드립니다.

보안패치만 해도 해당 악성코드는 htm, js파일만 다운받을 뿐 악성코드는 실행되지 못합니다.

백신은 v3 lite+사이트가드 / avast6 을 추천하며, 누가 땡땡(y로시작하는..-옮긴이)이 좋다고 하는데 그런 쓰래기 사기꾼 백신은 버립시당

마지막으로 보안패치 미 설치로 인한 해당 악성코드가 실행되면 일부 백신을 무력화 하는 코드가 들어가 있으며 imm32.dll을 하이재킹하여 온라인 게임 계정을 탈취하는 목적을 가졌습니다.

만약 해당 악성코드에 감염되어 있으면 v3 lite 로 전체검사를 해 주고 imm32.dll을 정상 dll파일로 교채해주시면 됩니당.

그럼 이상 끝~

ps. 해당 JS를 삭제를 원하면 인터넷 창을 모두 끈 다음에
C:Documents and SettingsAdministratorLocal SettingsTemporary Internet Filescontent.ie5
경로로 들어가서
눈에 보이는 폴더를 모두 지워주면 됩니다. 하지만 v3 lite가 JS파일을 잡는건 우선순위가 인터넷에서 해당파일을 받으면서 실시간 감시에 의해 잡는 것이니 해당 메세지가 뜨면 가급적 해당 사이트 방문을 자제하는 것이 좋음-_-;

===================================================


*내용요약*
윈도우 보안패치가 허술함을 틈타 악성코드를 유포하는 파일이었으며,
패치가 안돼있으면 일부 백신을 무력화하고 온라인게임 계정을 탈취할 목적으로 하는 악성코드임.
윈도우 보안패치를 주기적으로 다운받아 설치하고 백신프로그램을 설치해야함.

백신프로그램보다 더 중요한것이 윈도우 보안패치네요. 일부백신을 무력화시킨다니.. 패치없음 백신도 무용지물.

*보안패치방법(xp)*
제어판->자동업데이트 클릭
창이 뜨면 윈도우가 정품일시 "자동(권장)"에 체크해놓으시고
혹여 정품 안쓰시는분들은 세번째 "새업데이트를 알리도록 선택하지만 다운로드하거나 설치하지 않습니다"에 체크
나중에 윈도 아래쪽 시계 옆에 노란느낌표 뜨며(다를수있음) 윈도 업데이트 있다고 알려줍니다.
더블클릭한 후 "Windows Genuine Advantage Notification(정품인정알림)"를 "제.외."한 모든 업데이트 설치하는게 좋습니다.
(위 패치는 정품여부를 판단하는 패치이므로.. 정품사용자가 아닐경우 설치하면 안됩니다. 윈도 재설치해야함)
(정품사용을 생활화합시다-)
한번의 패치에 두번 알람을 띄워주는데, 첫번째는 "다운로드", 두번째는 "설치" 입니다.
처음 패치 할 경우 저런 두번의 알람(한번의 설치)는 세번정도 진행됩니다.
간혹 인터넷 익스플로러 업데이트 하라고도 뜨는데, 버전6을 쓰는데 8은 싫다, 하시면 체크 해제하심 되구요.
허나, 가능하면 익스플로러도 최신버전으로 유지하시는걸 추천드립니다.


한번으로 설치가 끝나는게 아니고 노란느낌표가 뜨면 수시로 클릭해서 뭐가떴나 봐줘야합니다.
윈도우란 녀석이 완벽하질 못해 항상 버그(악성코드가 침투할수 있는 구멍)가 발견되며,
그 발견한 오류를 수정하기 위해 항상 보안업데이트가 뜨는거지요.

결론, 보안업데이트를 항상 최신으로 유지하시기 바랍니다.