태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2014.02.06 16:04


http://viruslab.tistory.com/2927

판도라 업데이트 서비스를 통해서 악성파일이 배포됐는데, 유효 디지털 서명까지 포함하고 있다.

업데이트용 xml 파일은 다음과 같다.

http://cdn.ptvcdn.net/PandoraService/new_patch/Service_Update_New.xml

현재 정상적인 최신버전은 1.0.3.2 이다.


하지만 어제 실제 유포됐던 악성파일은 다음과 같고, 현재는 제거된 상태이다.

http://cdn.ptvcdn.net/PandoraService/new_patch/PandoraService_1.0.3.3.exe


유효한 디지털 서명을 포함하고 있다.

http://viruslab.tistory.com/2925

추가 생성되는 악성파일도 동일한 디지털 서명을 포함하고 있다.


예전 국내에 다수 배포된 악성파일처럼 존재하지 않는 이미지 파일 서버로 접근을 시도한다.

http://viruslab.tistory.com/2771

hxxp://www.netmarble.net/panmenu.jpg
hxxp://www.nexon.com/panmenu.jpg
hxxp://www.tistory.com/start/panmenu.jpg
hxxp://m.ahnlab.com/panmenu.jpg
hxxp://www.joinsmsn.com/panmenu.jpg
hxxp://fcst.co.kr/board/data/media/panmenu.jpg
hxxp://www.hangame.com/panmenu.jpg
hxxp://www.msn.com/panmenu.jpg
hxxp://adw.naver.com/panmenu.jpg
hxxp://www.houhan.co.kr/panmenu.jpg
hxxp://www.topani.com/panmenu.jpg
hxxp://www.nate.com/panmenu.jpg
hxxp://www.v3lite.com/panmenu.jpg
hxxp://funzone.co.kr/bbs/data/panmenu.jpg
hxxp://snsdate.gndot.com/panmenu.jpg
hxxp://www.srsr.co.kr/bbs2/data/panmenu.jpg
hxxp://www.scentkorea.com/bbs2/panmenu.jpg
hxxp://www.moreuc.com/panmenu.jpg
hxxp://www1.ncook.net/panmenu.jpg

악성파일은 실행되면 실행된 경로에 정상파일로 교체된다.

따라서 이용자는 화면에 보여지는게 없으니 두번 실행하면 실제 정상적인 판도라TV 파일을 실행하게 된다.


판도라TV 정상적인 디지털 서명은 다음과 같고, 어제 오전부터 유포가 포착되었다. 실제 판도라 CDN 을 통해서 유포되었기 때문에 업데이트 기능을 통해서 배포된 것으로 추정된다.

 
Posted by viruslab