동영상 악성코드에 주의하세요.
2013.02.09 00:38
연예인 유출 동영상이나
최근의 65g녀 같은 동영상(.avi)을 가장한
실제 .exe 파일을 lnk 바로가기 파일에서 명령프롬트 /c 커맨드 옵션과 함께
실행하도록 하여 제작한 델파이(프로그래밍 언어종류) 악성코드가 유포되고 있습니다.
hxxp://tmstkdsla.speedgabia.com 라는 문자열이 들어가 있고 upate03.png 파일을
내려받으며 taskkill 을 통해 악성코드 감지를 방해하고 곰플레이어를 실행시켜
정상적인 영상을 보여주기는 합니다.
making.log 라는 것을 만들어내는 것을 볼 수 있고 코드난독화가 되어 있어
정확한 악성코드 동작에 관한 것은 아직 모르겠습니다.
야리꾸리한 영상1.exe (악성코드 본체)
야리꾸리한 영상2.avi (실제 재생 가능한 영상)
같은 것으로 배포하던 것이 이제는
야리꾸리한 영상 1.lnk (도스명령프롬프트를 이용한 바로가기를 통해 악성코드 영상을 실행)
야리꾸리한 영상 2.avi (영상을 포함한 실제 악성코드 .exe)
이런 식으로 웹하드들을 통해 배포되고 있습니다.
자세한 정보와 해결방안은 백신제작 업체들에서 얻을 수 있으리라 생각합니다만
제가 드릴 수 있는 정보는 여기까지입니다.
IDA Pro Advanced 6.1 로 디컴파일하였으며
델파이 언어 TDS로 되어 있는 경우라 완벽한 디컴파일을 하지 못해
그 이상 더 언급해드릴 수 있는 부분은 없습니다.
저는 일단 악성코드 유포 사이트인 저 위에 적은 주소부터 차단해놔야겠습니다.
댓글 [8]
-
홍재인 2013.02.09 00:55
-
홍재인 2013.02.09 01:13
대략 보니까
영상 재생을 이유로 서버에 접속해 실제 악성코드 본체를 내려받아 실행하여
사용자가 입력하는 내용들을 log 파일로 갈무리 또는 실시간으로 서버에 전송하는 것으로 짐작하고 있습니다.
작업표시줄 빈 곳에서 오른클릭하면 '작업관리자' 라고 있을 것이고
윈도우+R 키를 눌러 실행창에 taskmgr 이라고 입력하신 다음 Update03 으로 실행되고 있는 프로세스를
프로세스 트리 끝내기로 종료하시면 문제는 일단락될 것으로 보입니다.
-
네트워크 2013.02.09 08:53 갖가지 방법으로 악성코드를 퍼트리는군요
게임같은것을 올린다음 다운받을때 직접 다운받지않고 다운로더먼저 설치하도록 한다음 다운로더를 통해 악성코드가 포함된 게임을 다운받도록 하는것도 많더군요 공짜가 PC잡고 사람도 잡는것 같습니다.
-
네트워크 2013.02.09 08:55 수년전 그때의 기술로는 감지할수 없는 악성코드를 가진 파일이 유포된적이 있는대 그것을 알렸더니 어떤사람은
자신의 능력으로 분석이 안되자 악성코드가 없다고 하면서 글을 쓴분을 비방하는 분도 본적이 있습니다.
-
보통내기 2013.02.09 09:36 아 그렇군요. 두분 감사합니다.
지금 당장 내 컴 탈탈 털어봐야겠습니다.
-
KK-YWF 2013.02.09 13:06
이해가 안되서 그러는데,,
avi확장자 파일은 보통 동영상재생기에 연결되어 실행되는데,
그게 사실 exe파일이라면 ,, 그냥 연결시 오류나고, """"끝"""" 아닌가요?
avi확장자파일을 실행하면 exe동작을 할 수 있나요? 궁금하네요.
-
홍재인 2013.02.09 13:19
c:/windows/system32/cmd.exe /c 야리꾸리영상.avi
명령프롬프트에서 cmd /? 를 통해 c 옵션이 뭘하는 건지 살펴보세요.
확장자에 상관없이 실행파일로 동작하게 해주는 것을 알 수 있으실 겁니다.
그것(cmd.exe 도스명령프롬프트커맨드)을 바로가기 파일 lnk 로 만들어서 동작시키는 것입니다.
이게 무서운 겁니다.
-
컴앤샵 2013.02.13 01:43
도스 시스템을 업애야한다, ㅎㅎㅎ 즉 새로운 운영시스템을 개발해야한다, 즉 사용자가 등록을 시행하는 방법은 업나? 모든 시스템을 사용자가 직접 코드입력 해야 실행되는 것같은 그런 방법은 업나? ㅎㅎㅎㅎ 아니면 쎄컨드 컴퓨터에 다운 한다음 실행시켜보고 그 다음에 본 컴퓨터에 설치하는게 최고인가?답답하내여,, 저같은 컴맹들은 그저 당하는 세상이니, ㅎㅎㅎㅎㅎ 애구구구구......
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
| 16321 | 마소 전화 유무료? [2] | 노백 | 2783 | 02-10 |
| 16320 | 블로그 시작하게 되었습니다.^^ [7] |
|
1936 | 02-10 |
| 16319 | 새해 복 많이 받으세요! [10] |
|
1755 | 02-09 |
| 16318 | 병을 고치는 물 [4] | 대하리 | 2362 | 02-09 |
| 16317 | 은하철도999 | 천년수 | 2016 | 02-09 |
| 16316 | 회심곡을 좋아하는 나이가 되었습니다 [5] | 갈밭 | 1594 | 02-09 |
| 16315 | 윈도우포럼 유명회원분들 잠수타셨나요? [2] |
|
2446 | 02-09 |
| 16314 | 한동안 뜸 했었네요.^^ [4] | AMD Mania | 1647 | 02-09 |
| 16313 | 아르페지오님... [2] | 갈밭 | 1424 | 02-09 |
| 16312 | 테이크핏 0원 (위약금4) 태워주고 속 끊이는 이야기...~! [1] | 피시컴 | 2161 | 02-09 |
| 16311 | 설 특선...ㅋ종료 [3] | Tillandsia | 2074 | 02-09 |
| 16310 | 고스트 사용법 완벽정리 동영상 [8] | 구들목 | 1943 | 02-09 |
| 16309 | 철책아 ! 철책아 ~ 너 때문에 국정이 마비 된단다 ! [1] |
|
1469 | 02-09 |
| » | 동영상 악성코드에 주의하세요. [8] | 홍재인 | 3415 | 02-09 |
| 16307 | 스마트폰 연휴특가 주말특가를 노리고 있는데 아직 조용하... [1] |
|
1403 | 02-09 |
| 16306 | 묵은해를 보내자고 하니... [8] |
|
1282 | 02-08 |
| 16305 | 잠시 다녀 갑니다 [15] |
|
1783 | 02-08 |
| 16304 | 새해 복많이 받으십시요 [8] | 훈장 | 1284 | 02-08 |
| 16303 | 떠난 배는 돌아 오지 않는다... [5] |
|
1838 | 02-08 |
| 16302 | 공유기 하나 구입하는데도? 가격이 수십가지? (N904) [2] | 피시컴 | 1887 | 02-08 |
추가로 update03.png 파일은 .exe 파일이었으며 역시 디컴파일을 해보니 transmitfile transmitpackets 같은 것들이 들어 있습니다.
지정된 서버로 개인컴퓨터의 자료정보를 빼돌리는 것으로 보입니다.
악성코드 감염후의 내용들을 기록해서 보내는 것이 아닐까 하는데 저도 아직 실체를 다 파악하지 못해 도움을 못드립니다.
아무튼 조심하시라고 적어드립니다.
윈도우 탐색기 옵션에 알려진 확장자 감추기 옵션을 반드시 해제하여 사용하셔서 파일명과 아이콘 모양만으로는 불확실한 믿음을 확인하시기 바라구요.
혹시 실수로 삭제할까봐서 시스템 파일을 표시하지 않는 경우가 있을지 모르겠습니다만 숨김파일도 모두 표시되도록 하시는 편이 좋습니다. 그나저나 제 컴퓨터는 이제 어느 사이트이든 들어가기 힘들겠고 다른 컴퓨터에서 일단 비번부터 바꿔야겠습니다.