web worm들이 Facebook과 Myspace를 통해서 꿈틀대고 있다.
Posted by Ryan Naraine @ 4:31 pm
* 여기서 social network site는 블로그, 까페 등의 사이트를 말하는 것으로
마땅히 번역할 말이 없어 영어 원문을 그대로 이용하였음.
카스퍼스키 랩에 있는 내 동료가 MySpace와 Facebook을 통해 퍼져나가려고 하는 윈도우즈 시스템에 malware를 생산시키기 위해 사회공학적인 기법을 이용하는 2개의 새로운 웜을 발견해 냈다.
이 웜들은 최종 사용자가 악성 코드를 설치하게끔 속이는 비디오 유혹물과 플래쉬 플레이어 다운로드를 이용한 것으로 2개의 유명한 social network 사이트에서의 comment를 다는 방법을 통해 전파한다.
그 악성 payload의 부분으로, 그 웜들은 피해 컴퓨터를 BOTNET이 되는 Zombie computer로 변경 시킨다. 비록 웜들이 현재도 MySpace와 Facebook 사용자들을 감염시키고 있다 하더라도,Kaspersky Lab 분석가들은 사용자들에게 '웜들은 인터넷을 통해 다른 기능을 가진 추가적인 악성 모듈을 업로드 하도록 디자인 되어 있다.'는 것을 경고하고 있다. 이것은 피해 컴퓨터들이 이러한 social network site들을 통해 링크를 전달시키는데 사용되어질 뿐 아니라 다른 악의적인 목적을 가지고 있는 BOTNET으로 쓰일 가능성이 매우매우 높다는 것을 의미한다.
해당 social network site들에 씌여진 메세지들과 덧글들은 다음의 것을 포함하고 있다 :
→ Paris Hilton Tosses Dwarf On The Street
→ Examiners Caught Downloading Grades From The Internet
→ Hello; You must see it!!! LOL. My friend catched you on hidden cam
→ Is it really celebrity? Funny Moments and many others.
이 메시지들과 덧글들은 가짜 유튜부와 비슷한 사이트로 링크가 걸려져 있고, 그 링크를 클릭하면 또다른 유투부 짝퉁 사이트로 리다이렉트되면서 Adobe Flash player의 최신 버전을 다운로드 하라는 아래와 같은 메시지가 나타난다.
하지만, 최신 버전의 플래쉬 플레이어 대신에, codesetup.exe라 불리는 파일이 피해 컴퓨터에 다운로드 되게 되며, 이 파일 역시 network worm의 일종이다. Kaspersky는 이미 그 보안 부서에서 미리 이 위협들을 탐지했으며, 시그니쳐에 이 데이터 베이스를 2008년 7월 31일자로 추가했다고 말했다.
플래쉬 플레이어 다운로드라는 사회공학적인 유인 방법의 사용이 매우 흥미롭다. 대부분의 경우 악의적인 해커들은 속이는 코드들로 비디오 유혹물들을 이용하기는 했지만, 플래쉬 플레이어 다운로드는 웹 서핑 중 겪게 되는 일반적인 부분의 일종이기 때문에 사용자들이 이런 최신 버전에 대한 속임수에 넘어갔을 확률이 매우 높다고 할 수 있다.
일반적으로 만일 당신이 social netoworking site에 방문중이고, 윈도우 장비에 어떤 exe파일을 다운로드 받도록 하는 경고창이 나왔다고 하면, 당신의 PC를 모두 패치하고 최신의 anti-virus프로그램을 돌려보아야 한다.
원본 출처 : http://blogs.zdnet.com/security/?p=1615
No comments:
Post a Comment