³»ºÎ ³×Æ®¿öÅ©ÀÇ ´Ù¾çÇÑ Á¤º¸ ¼öÁýÇϱâ À§ÇØ Á¦ÀÛµÈ °ÍÀ¸·Î ÃßÁ¤
[º¸¾È´º½º ±èÅÂÇü] Áö³ 7¿ù 21ÀÏ ÀϺ» ±¹³» ¾ð·ÐµéÀ» ÅëÇØ ¡®Finance Ministry reveals 2010-2011 computer virus; info leak feared¡¯ ÀϺ» À繫¼º¿¡¼ 2010³â¿¡¼ 2011³â 2³â »çÀÌ¿¡ °¨¿°µÈ ¾Ç¼ºÄڵ尡 ¹ß°ßµÇ¾úÀ¸¸ç ÀÌ·Î ÀÎÇØ ³»ºÎÁ¤º¸°¡ À¯Ã⠵ǾúÀ» °ÍÀ¸·Î ÃßÁ¤µÈ´Ù´Â ±â»ç°¡ °ø°³µÇ¾ú´Ù.
¾È·¦ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ASEC)¿¡¼´Â ÇØ´ç ħÇØ »ç°í¿Í °ü·ÃÇÑ Ãß°¡ÀûÀÎ Á¤º¸¿Í °ü·Ã ¾Ç¼ºÄڵ带 È®ÀÎÇÏ´Â °úÁ¤¿¡¼ ÇØ´ç ħÇØ »ç°í¿Í °ü·ÃµÈ ¾Ç¼ºÄڵ带 È®º¸ÇÏ°Ô µÇ¾úÀ¸¸ç ÇØ´ç ¾Ç¼ºÄÚµå´Â ¾à 1³â ÀüÀÎ 2011³â 9¿ù °æ¿¡ ¹ß°ßµÈ °ÍÀ¸·Î ÆľÇÇÏ°í ÀÖ´Ù.
À̹ø¿¡ ÆÄ¾ÇµÈ ¾Ç¼ºÄڵ尡 ½ÇÇàµÇ¸é ÇØ´ç ÆÄÀÏÀÌ ½ÇÇàµÈ µ¿ÀÏÇÑ °æ·Î¿¡ ´ÙÀ½ ÆÄÀÏÀ» »ý¼ºÇÏ°í Á¤»ó ½Ã½ºÅÛ ÇÁ·Î¼¼½ºÀÎ explorer.exe¿¡ ½º·¹µå·Î ÀÎÁ§¼ÇÇÏ°Ô µÈ´Ù.
C::\[¾Ç¼ºÄÚµå ½ÇÇà °æ·Î]\tabcteng.dll (114,688 ¹ÙÀÌÆ®)
±×¸®°í ´ÙÀ½ ·¹Áö½ºÆ® °æ·Î¿¡ Å° °ªÀ» »ý¼ºÇÏ¿© °¨¿°µÈ ½Ã½ºÅÛÀÌ ÀçºÎÆÃÀ» ÇÏ´õ¶óµµ ÀÚµ¿ ½ÇÇà µÇµµ·Ï ±¸¼ºÇÏ°Ô µÈ´Ù.
HKLM\SYSTEM\ControlSet001\Services\Netman\Parameters\ServiceDll
"C:\[¾Ç¼ºÄÚµå ½ÇÇà °æ·Î]\tabcteng.dll"
°¨¿°µÈ ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â ÀÎÅÍ³Ý ÀͽºÇ÷η¯(Internet Explorer)ÀÇ ½ÇÇà ÆÄÀÏ iexplorer.exe¸¦ ½ÇÇà ½ÃÄÑ HTTP·Î ¿ÜºÎ¿¡ Á¸ÀçÇÏ´Â ½Ã½ºÅÛÀ¸·Î Á¢¼ÓÀ» ½ÃµµÇϳª Å×½ºÆ® ´ç½Ã¿¡´Â Á¤»ó Á¢¼ÓÀÌ µÇÁö ¾Ê¾Ò´Ù.
À̹ø ÀϺ» À繫¼º ħÇØ »ç°í¿Í °ü·ÃµÈ ¾Ç¼ºÄÚµå´Â ÀüÇüÀûÀÎ ¹éµµ¾î ÇüÅÂÀÇ ¾Ç¼ºÄÚµå·Î ½ÇÁúÀû ¾ÇÀÇÀûÀÎ ±â´ÉµéÀº »ý¼ºµÈ tabcteng.dll(114,688 ¹ÙÀÌÆ®)¿¡ ÀÇÇØ ÀÌ·ç¾îÁö°Ô µÈ´Ù.
¡¤Å°º¸µå ÀÔ·Â °¡·Îä´Â Å°·Î±ë(Keylogging)
¡¤ÆÄÀÏ »ý¼º ¹× »èÁ¦
¡¤Æú´õ »ý¼º ¹× »èÁ¦
¡¤¿î¿µ üÁ¦ Á¤º¸
¡¤MAC ¾îµå·¹½º, IP, °ÔÀÌÆ®¿þÀÌ(Gateway), WINS ¼¹ö ¹× DNS ¼¹ö ÁÖ¼Ò
¡¤¸Þ¸ð¸®, ÇÏµå µð½ºÅ© ¹× CPU µî Çϵå¿þ¾î Á¤º¸
¡¤»ý¼ºµÇ¾î ÀÖ´Â »ç¿ëÀÚ °èÁ¤µé Á¤º¸
À§¿Í °°Àº ¾ÇÀÇÀûÀÎ ±â´ÉµéÀ» ¹Ì·ç¾î º¼ ¶§ ÇØ´ç ¾Ç¼ºÄÚµå´Â °¨¿°µÈ ½Ã½ºÅÛÀ» °ÅÁ¡À¸·Î ³»ºÎ ³×Æ®¿öÅ©ÀÇ ´Ù¾çÇÑ Á¤º¸µéÀ» ¼öÁýÇϱâ À§ÇØ Á¦ÀÛµÈ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. À̹ø¿¡ ¾Ë·ÁÁø ÀϺ» À繫¼º ħÇØ »ç°í °ü·Ã ¾Ç¼ºÄÚµå´Â V3 Á¦Ç°±º¿¡¼ ´ÙÀ½°ú °°ÀÌ Áø´ÜÇÑ´Ù.
Dropper/Win32.Agent
Trojan/Win32.Agent
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>