0x02 analysis2009. 6. 26. 15:26


몇달 전에 3322.org를 대체할 만한 ddns 서비스라고 해서 optus.nu라는 걸 알게 됐었습니다.
그래서 추이를 살펴보고 있었는데 별 다른 특이사항은 없더군요..

oprus.nu로 검색을 하니 몇개의 도메인들이 나오는 듯 한데 그 중에서 하나가 수상해서 확인해 봤습니다.

hxxp://furowepulad.optus.nu/addicted-to-scrapbookingcom.html


사이트에 접속하면 뭔가를 막 하다가 아래와 같은 팝업창이 뜹니다.




악성코드가 많으니 빠르고(quick) 무료인(free) 스캐닝을 해라....라는 메시지군요...
확인을 클릭하면 아래처럼 화면이 바뀝니다.




누가 봐도 가짜라는 걸 알 수 있습니다.
요즘 같은 세상에 네티즌을 너무 무시하는 듯한 행동으로 보입니다. -_-
저는 파티션을 4개로 나눠서 쓰는데 2개 밖에 없다는군요..
일단 무슨 짓을 하는지 놔둬 봤습니다.




악성코드가 많아서 데이터 손실이 있을 수 있으니 빨리 치료하라는 군요..
확인을 누르면 팝업창이 뜨는 것처럼 화면이 바뀝니다.




전 Window 고전 테마를 쓰는데 뜨는 팝업창은 XP 테마군요...-_-
remove all을 클릭하든 다른 곳을 클릭하든지 간에 파일을 하나 다운로드 합니다.




파일명이 참...

실행해서 설치해 봤습니다.
설치하고 나니 랜덤한 사이트로 접속을 하고 있었습니다.




이렇게 몇분 정도 접속을 하다가 또 몇분 쉬었다가를 계속 반복합니다.

이런 접속을 시도하는 프로세스를 확인해보니 b.exe라는 파일이었습니다.




b.exe가 있는 폴더에 가니 몇개의 파일이 더 있습니다.




a.exe라는 파일도 보입니다.

b.exe는 계속 프로세스가 실행되어 있으면서 랜덤한 사이트로 접속을 하고 있었고 a.exe는 별다른 행동은 하지 않는 것으로 보입니다.


VirusTotal 결과

a.exe : http://www.virustotal.com/ko/analisis/e559346983d418f933362b1742a29e44d00ad0f653e0ff7864cb5ade520aee64-1245995846
b.exe : http://www.virustotal.com/ko/analisis/6c29b55322782b1c396fd046a471a012ceb71d43a2b400eadc7bf4969b025e65-1245996043
av-scanner.48248.exe : http://www.virustotal.com/ko/analisis/b57dc705d3bbd11501d993f83d5af56a583c98af5239911f81f6a94c00bc97e6-1245996464



질의하는 도메인이 너무 많아 모두 일일히 확인하기는 어려울 것 같은데 www.google.com이나 www.macromedia.com과 같은 사이트로도 접속하는걸로 봐서
특별히 문제가 되지 않을 듯 하지만 지속적으로 HTTP 트래픽을 발생시키기때문에 확인해보는게 좋을 듯 합니다.





Posted by demantos

댓글을 달아 주세요

  1. Fake AV 설치본을 놓쳤네요^^; 그런류는 Anti-Spyware 엔진에 추가하는데 바이러스 토탈에는 포함되어 있지 않네요.^^ 암튼 잘 보았습니다.

    2009.06.26 17:22 [ ADDR : EDIT/ DEL : REPLY ]
    • 그렇군요..
      Fake AV는 처음보는거라서..^^;
      공부 많~이 해야겠습니다..

      2009.06.26 18:11 신고 [ ADDR : EDIT/ DEL ]