안녕하십니까?
이스트소프트 알약 긴급대응팀입니다.
네티즌들이 많이 사용하는 인스턴트 메신저 쪽지를 통해 악성코드(V.WOM.Messenger.pbe)가 급속히 확산되고 있어
사용자들의 주의가 필요한 상황입니다.
해당 악성코드는 USB 및 하드디스크에 autorun.inf을 생성하여
USB를 통해서도 감염/전파가 가능하며, 안전모드에 관련된 레지스트리를 삭제하여
안전모드 부팅을 불가능하게 만듭니다.
또한 MS 윈도우 보안센터와 시스템 복원의 동작을 중지시키고,
사용자의 키보드 입력 내용을 가로 채는 등의 위험도가 높습니다.
알약에서는 현재 해당 악성코드를 진단하고 치료하고 있으므로
항상 DB를 최신버전으로 유지해주시고, 실시간 감시 기능을 활성화 시켜두셔야 합니다.
[감염 경로]
1) 메신저 등을 통해 다운로드 링크 URL 형태로 배포됩니다.
2) 디스크에 autorun.inf 파일을 생성하여 자동 실행 기능을 통해 감염됩니다.
[감염 증상]
1) 디스크 드라이브 체크 후, PhysicalDrive2.com, autorun.inf 파일 생성
2) Image File Execution Options "Debugger" 를 이용한 악성파일 실행
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xxxxxxxx.exe
Debugger;%APPDATA%\Microsoft\SystemCertificates\social.exe
3) 안전모드 부팅 관련 레지스트리 삭제
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
4) 윈도우 보안센터, 시스템 복원, 윈도우 방화벽/인터넷 공유 서비스 중지
5) 호스트 파일(C:\Windows\System32\drivers\etc\hosts)을 변조하여
백신의 업데이트와 메신저 고객센터 홈페이지 접속을 방해
208.98.xx.xx xxx.darkedenextreme.com
127.0.0.1 xxx.kasperskylab.co.kr
127.0.0.1 xxx.avira.com
65.55.xxx.xxx xxx.avast.co.kr
127.0.0.1 xxx.eset.com
127.0.0.1 xxx.everyzone.com
127.0.0.1 xxx.hauri.co.kr
65.55.xxx.xxx xxx.nprotect.com
127.0.0.1 xxxxx.xxxxxxx.co.kr
127.0.0.1 xxxxx.xxxxxx.altools.com
127.0.0.1 xxxxx.xxxx.altools.com
127.0.0.1 xx.ahnlab.com
65.55.xxx.xxx xxx.v3lite.com
65.55.xxx.xxx xxxxxxx.ahnlab.com
127.0.0.1 xxxxxxxx.nate.com
127.0.0.1 xxxxxxxx.buddybuddy.co.kr
6) 키보드 키로깅 기능
%APPDATA%\Microsoft\SystemCertificates\tmg.e1sex
%APPDATA%\Microsoft\SystemCertificates\v9.e1sex2y
7) 파일 생성
%APPDATA%\Microsoft\SystemCertificates\social.exe (숨김속성)
%APPDATA%\Microsoft\SystemCertificates\pbe.exe (숨김속성)
%APPDATA%\Microsoft\SystemCertificates\Gom.exe (숨김속성)
%APPDATA%\Microsoft\SystemCertificates\a.a (숨김속성; 정상 MSWINSCK.OCX 파일)
8) 감염 후에 이미지 출력
[치료 방법]
현재 알약에서는 해당 악성코드를 V.WOM.Messenger.pbe로 진단하고 있으며,
치료가 가능합니다.
알약을 설치하여 최신DB로 업데이트한 후 수동으로 검사를 실시합니다.
온라인에서 알약 업데이트가 불가능하신 분들은 수동DB업데이트 파일을 다운로드하여
최신DB로 업데이트하시기 바랍니다.
[예방 방법]
1) 모르는 사람이 보내는 URL링크는 물론 아는 사람이 보낸 URL링크에 대해서라도
클릭하는 것을 주의해야 합니다.
2) 알약을 최신DB로 업데이트로 항상 유지해야 합니다.
3) 알약의 실시간감시를 항상 활성화시켜야 합니다.
4) 아는 사람의 계정으로 악성코드 링크가 포함된 쪽지가 오는 경우,
해당 사용자에게 계정도용 가능성을 경고하고 계정의 비밀번호를 변경하도록 조치해야 합니다.
- 이스트소프트 알약 http://alyac.altools.co.kr/ -