'nateon'에 해당되는 글 1건

  1. 2008.07.10 네이트온 메신저 쪽지로 배포되는 웜 조심 (2)
IT이야기2008. 7. 10. 10:14
어제 밤 9시 49분쯤에 퇴사하신 분이 메신저로 쪽지를 보내셨다.
저 뿐만 아니고, 대략 20여명에게 한꺼번에 보내졌는데, 퇴사하진지 몇달이 되었는데 '우리집에 애완견인데 이뻐요 http://../?....jpg' 라는 내용으로 보내는 것이 이상했다. 그래서 쪽지내 링크된 URL을 자세히 들여다 보니~아~ 이건 이미지파일을 요청한 것이 아니고, index 파일을 호출한 것이다. 눈속임이 교묘하다.

사용자 삽입 이미지

http://웹주소/image/main/?79202257.jpg  은
http://웹주소/image/main/index.asp?79202257.jpg 처럼 index 파일명(웹서버 설정에 따라 index 파일명은 다양하게 지정 가능)을 생략한채로 query를 요청한 것이다. 즉, ? 뒤에 파일명은 아무 의미없이 눈속임을 위한 것.

저 URL로 요청을 하면 아래 처럼 exe파일을 받게된다. 다운 받아 실행하는 일은 없도록... ^^

HTTP/1.1 302 Object moved
Server: Microsoft-IIS/5.0
Date: Thu, 10 Jul 2008 01:00:33 GMT
Location: modue.exe  <-- 다운 받을 수 있는 URL로 이동한다.
Connection: Keep-Alive
Content-Length: 136
Content-Type: text/html
Set-Cookie: ASPSESSIONIDCSCTCQAQ=LGOBFMJCAKHDMADLKIACDBEM; path=/
Cache-control: private

저런 쪽지를 보내신 분은 웜에 감염됐거나 개인정보가 도용됐을 가능성이 있다. 그리고 저 URL에 해당하는 서버 또한 해킹을 당했다는 것으로 보면 될 것이다.


[ 관련정보 ]
* Win32.Dropper.Games (메신저를 통해 악성코드전파)
* Dropper.PSWIGames.159222 (확산방법 : 메신저, 발견일 : 2008/07/06)
 
Posted by 좋은진호

댓글을 달아 주세요

  1. 요즘 네이트온 스팸 사건들이 왕왕 올라오던데, 이것도 그런 종류군요
    저는 맥에서 네이트온을 쓰다보니, 클릭해도 exe 파일은 실행될 일이 없는 ^^;;

    2008.07.17 00:58 [ ADDR : EDIT/ DEL : REPLY ]
    • 주위분들은 받아서 실행까지 해보신 분이 몇몇 계시더군요. ㅠ.ㅠ
      저는 주로 리눅스를 사용하지만. ^^

      2008.07.18 11:13 신고 [ ADDR : EDIT/ DEL ]