Win32:Skyper.B는 스카이프처럼 보이게 위조하여 스카이프에 접속하는 사용자ID와 비밀번호 정보를 훔치는 악성 프로그램입니다.

Skyper.B는 스카이프 디펜더(defender)라는 보안 플러그인으로 위장하고 있으며 자체 압축인 UPX 3.0으로 되어 있으며 볼랜드 델파이로 제작된 것으로 알려져 있습니다.

이 악성 프로그램이 실행되면 아래와 같이 경고 메시지를 보이고 스카이프 로그온 화면을 위장하는 가짜 화면이 나타납니다.
사용자 삽입 이미지

사용자 삽입 이미지

로그온을 시도하면 아래와 같이 올바르지 않다고 경고 메시지를 보여 줍니다.
사용자 삽입 이미지

아래는 실제 스카이프의 로그온 화면으로 Sign in 버튼 부분이 다른 것을 볼 수 있습니다.
사용자 삽입 이미지

스카이프 사용자가 가짜 로그온 화면에서 정보를 입력하고 Sing in 버튼을 클릭하면 악성 프로그램은 계정정보를 [xxx.rxfly.net]으로 전송을 시도합니다. 또한, 윈도우 보호 스토리지 서비스(Windows Protected Storage Service)에서도 계정 정보를 취득하려고 시도합니다.

다행인 것은 자기 자신을 이메일, 메신저 등을 통해 다른 곳으로 전송하는 기능이 빠져있습니다.

노턴 등의 최신 안티바이러스에서 이 악성 프로그램을 진단 처리할 수있지만, 아무래도 조심하는 편이 나을 것으로 보입니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    인터넷 전화로 유명한 SKYPE에서 새로운 웜이 창궐하는 현상이 발생하고 있습니다.

    w32/Ramex.A 웜은 SKYPE의 공개 API(Application Program Interface)를 사용하여 PC를 액세스합니다.

    SKYPE 사용자가 .jpg 이미지로 유도하는 채팅 메시지를 받으면서 감염이 시작되며, 물론 이 메시지는 출처를 알 수 없는 곳에서 발송되며 보통 이 웜에 감염된 친구 중 하나일 수 있습니다.

    이 링크는 바이러스 파일로 유도되며, 사용자가 이 링크를 클릭하면 저장할 지 또는 .scr 파일을 실행할지 물어 봅니다. 사용자가 파일을 다운로드하지 않는 경우에는 다행이도 감염되지 않습니다.

    F-Secure, 카스퍼스키, 시만텍과 같은 바이러스 벤더에서는 이미 이 웜 샘플을 입수하여 데이터베이스를 업데이트한 상태입니다.
    사용자 삽입 이미지

    그리고, 다음의 방법을 이용하여 직접 w32/Ramex.A 웜을 제거할 수 있습니다.

    1. 안전 모드로 부팅합니다.

    2. 레지스트리 편집기를 실행합니다.(regedit.exe)

    3. HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce에서 mshtmldat32.exe 엔트리를 찾아 삭제합니다.

    4. 탐색기를 열고 WIndows\System32 폴더에서 wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe, sdivew32.exe 파일을 삭제합니다.

    5. Windows\System32\drivers\etc 폴더에서 hosts 파일을 찾아 메모장으로 엽니다.

    6. 모든 항목을 삭제합니다.(localhost 만 제외)

    7. 재부팅합니다.

    출처:
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 바이러스의 공격 방향이 사용자 PC의 손상이 아니라 정보를 수집해서 빼나가는 형태로 바뀌고 있습니다. 이러한 경향에 따른 스카이프의 자료 수집 목마가 다시 출현했다는 소식입니다.


      웹센스 보안 연구소(Websense Security Labs)는 22일(미국 시간), 「스카이프(Skype)」유저가 또 다시 「와레조프(Warezov)」라고 하는 트로이의 목마 바이러스의 표적이 되고 있는 것을 발견했다.

      이번 공격은 인스턴트 메시징(IM) 애플리케이션을 타깃으로 하는 다양한 위협과 닮은 형태다. 웹센스는 경고를 통해 타깃이 된 스카이프 유저는 「Check up this」라는 문구와 함께 바이러스로 연결되는 링크가 송신된다고 설명했다.

      링크를 클릭하면 다수의 파일이 다운로드 되어 실행된다고 한다.

      감염된 컴퓨터는 공격자의 마음대로 사용할 수 있어 피해자가 스카이프 전화로 연락을 취하는 상대 역시 공격자의 링크가 포함된 메시지를 받게 되고 이와 같은 방식으로 감염대상을 펼쳐간다고 웹센스는 말했다.

      웹센스에 의하면, 이번 공격은 2월에 보고된 공격과 닮은 모습을 보이지만, 파일의 공개 장소가 다수로 추정되며 코드도 강화되고 있다고 한다.

      스카이프는 지금까지 다른 각종 IM서비스 같이 자사의 IM 기능도 악용되는 경우가 있는 것을 인정해 왔다. 스카이프는 클라이언트에 악질적인 링크를 배제하는 기능을 탑재할 수 있도록 보안 기업들과 공동 조사를 벌일 의사를 밝혔다.

      스카이프의 최고 보안 책임자 커트 소우여(Kurt Sauer)는 24일, “유해한 바이러스나 트로이의 목마는 유저가 사용하고 있는 스카이프, 이메일, IM 클라이언트 등 가리지 않고 닥치는 대로 데이터를 수집한다고 말했다.

      스카이프에서는 악질적인 파일을 열지 않도록 유저들에게 알리고 있다. 수신 파일은 안티 바이러스 소프트웨어를 사용해 첨부 파일을 열 때 확인을 하는 것을 권장하고 있다.

      와레조프(별명 :Station)는 9월 무렵부터 발견되어 변종도 다수 등장했다. 와레조프 계열의 바이러스는 스카이프와 이메일에 의한 스팸메일에서도 감염이 가능하다.
      출처: ZDNet Korea
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory