어제 Malware URL을 통해서 악성코드 샘플들을 수집하다가 우연히 아래와 같은 사이트를 발견했습니다.
(이전에 존재하던 방법으로 직접 본 것은 처음이라 블로그에 남깁니다.)

일단 특정 사이트 접속시 아래와 같은 경고 메시지를 보여줍니다.
확인을 누르게 되면 인터넷 익스플로어 상에서 사용자의 컴퓨터를 스캔하는 듯한 화면을 보여주며 사용자의 PC가 감염되었다는 허위 메시지를 보여줍니다. 깜빡 속을 만큼 잘만들었내요.

검사가 완료된 후에 아래와 같은 메시지가 발생하며 치료를 위해 Windows Defender를 다운 받도록 유도합니다. Cancel을 눌러도 역시 다운을 받게 됩니다. 다운 유도되는 파일은 setup.exe(MD5 : 7745e3e182cdda0ea36bebc8c24fd914)이라는 파일명을 갖습니다.
 < 바이러스 토탈 결과 >

다운 받은 파일을 실행해 봤습니다.
위와 같이 1060 포트를 오픈하고 대기하는 것을 볼 수 있으며, 특정 사이트로  /admin/bot.php로 주기적으로 접속하는 것을 볼 수 있습니다.


특정 사이트 접속후 아래와 같이 동일한 악성코드 파일을 다운 받는 명령을 받아오는 것을 볼 수 있습니다.

사회공학적인 방법을 이용하여 마치 사용자의 PC가 악성코드에 감염된 듯이 속여 다른 악성코드를 다운받게 하는 유포방법으로, 의심되는 사이트 접속시 함부로 파일을 다운받지 않도록 해야 겠습니다.

                                                                                                   +---------------------------------+
                                                                                                    | Infinite Flow..                              |

                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+
저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K

티스토리 툴바