최근 사업한다고 이것저것 건드리는 중이라
리틴블로그에 너무 오랜만에 포스팅하는거 같네요 ^^;
한달전부터 지속적으로 "원순철 핵감지기", "레바의모험", "마인크래프트" 등..
찾는 연령때가 다소 낮은 키워드를 노려 지속적으로 블로그를 옮기며 악성코드를 유포하고 있습니다.
왠만하면 그냥 네이버에 문의해서 해당 포스트삭제 및 검색제한 요청을 하고 넘어가는데
한달전부터 꾸준히 다수의 블로그를 이용하여 각 키워드를 선점, 악성코드를 유포하는 뽐새가
심상치 않아 피해가 클것으로 예상되어 잠시 살펴봤습니다.
원순철핵감지기라 속여 "wLauncherSetup.exe" 를 다운받을 수 있도록 올려 놓았는데
이를 실행할 경우 wLauncherSetup2.exe가 생성되어 이를 실행할 경우 정상적으로
http://www.wlauncher.com/ 접속하여 원순철핵감지기가 다운된 후 원순철핵감지기 설치가 진행됩니다.
하지만 "wLauncherSetup.exe" 실행시 이미
C:\WINDOWS\system32 위치에 8글자(영문랜덤).dll 혹은 7글자(영문랜덤).dll 파일이 생성됩니다.
(패킹된 파일은 8자리 dll이 생성됬는데, 패킹되지 않은 파일은 7글자 dll이 생성되네요)
이후 svchost.exe에 상주하여 219.101.160.70(ip조회결과 일본) 서버와 연결하는데 자세히 모르겠더군요 -_-;
간단히 DLL만 olly를 통해 봤을 때 보이는 몇몇 스트링만 봐도 레지스트리에서 값을 읽어오는거 같으니,
당연히 수정됬을 것인데.. 레지스트리는 워낙 잼병이라 일단 kisa(한국인터넷진흥원)에 문의했는데
제가 문의할 때 넣어놓은 포스트는 이미 비공개 혹은 삭제된 뒤였고
결과적으로 kisa에서는 확인조차 못했다고 전화가 왔습니다.
가장좋은 방법은 네이버에 문의하여 해당 포스트를 검색제한 혹은 비공개 조치를 하는 것이라고 하는데
너무나 다양한 블로그와 키워드를 이용하여 상습적으로 악성코드를 유포하는 것 같다고 말하니까
kisa는 수사권한이 없으니 네탄(사이버수사대)를 통해 신고하라고 하더군요
사이버수사대에 신고하기 전에 악성코드가 확실한지(어떠한 기능을 하는지) 등이 궁금해서 다시
자세히 뜯어보려고 하니까 패킹 종류가 생소하여 언패커 찾는데 시간이 오래걸릴것 같고,
레지스트리쪽은 문외한이라 하나씩 살펴보려면 무식하게 스탭이나 트테스로 쭉쭉 따라가야 해서
결국 저 보다 몇백배는 실력있어 보이는 울지않는별새님에게 문의를 드렸습니다. (__)
http://hummingbird.tistory.com/3754
위 블로그 포스트를 보시면 아시겠지만 울지않는별새님께서 흔쾌히 분석해 주셨고
보안업체에 상황전파를 해주신다고 했으니 그나마 다행입니다. ^^
문제는.. 지난 한달간 악성코드를 배포하는 특정 몇개의 블로그를 지속적으로 관찰해 봤을 때
블로그를 키우는 방법이나 해당 키워드로 네이버 블로그 검색상위를 먹기위해 행하는
일종의 작업에 쓰이는 아이디가 모두 같은점 등을 보아 동일범 혹은 동일한 팀(?)의
소행으로 보이는 반면, 매번 올리는 악성코드가 조금씩 상이하기 때문에 백신프로그램이
진단하기 쉽지 않을 것이란 겁니다.
실제로 23일날 바이러스토탈을 통해 dll파일을 42개의 백신에서 확인한 결과
단 하나의 백신도 바이러스로 분류하지 않았습니다. (지금은 하나의 백신이 잡네요)
지난주에는 C:\Program Files 폴더에 잡다한 파일이 설치되는 형식이었는데 지금은
그런 형식이 아니며 원순철핵감지기라 속인 wLauncherSetup.exe 파일만 보아도
처음에는 티스토리블로그 자료로 링크했다가, 다음에는 패킹된 wLauncherSetup.exe 파일을
지금은 다시 패킹되지 않은 wLauncherSetup.exe 파일로 교체되어 있습니다.
한동안은 블로그를 통한 파일 다운로드를 자제하는 것을 권장합니다.