시험이 끝나고 워밍업 중인 제도샤프입니다. 오랜만에 만나뵙네요 반갑습니다 :)
예전에 한창 페이스북으로 바이러스가 퍼진 적이 있었습니다. 그 때 퍼졌던 바이러스는 정확이 허떤 역할을 하는지, 어떤 정보를 빼내어가는지 분석되지 않았습니다. 그러나 어떤 형식으로 감염되는지는 알 수 있습니다. 아래에서 어떻게 바이러스가 사용자의 컴퓨터에 감염되는지 그 과정을 알아보도록 하죠.
잘 알던 친구의 이름으로 페이스북 IM이 날아옵니다. 이 IM은 영어로 구성되며, 아래와 같은 내용을 포함합니다.
* 이 테스트는 컴퓨터가 백신으로 완벽하게 보호되어 가장 안전한 보안상태 아래에서 진행되었습니다.
잘 알던 친구의 이름으로 페이스북 IM이 날아옵니다. 이 IM은 영어로 구성되며, 아래와 같은 내용을 포함합니다.
* 이 테스트는 컴퓨터가 백신으로 완벽하게 보호되어 가장 안전한 보안상태 아래에서 진행되었습니다.
이 형식에는 여러 가지가 있습니다. 한가지 메시지가 아니라, 사용자에 따라 약간씩 변형된 내용을 보이는 것으로 확인되었습니다. 매 번 같은 메시지가 보이면 필터링하면 되니까 머리를 좀 쓴 모양이네요.
u u i have your good lucking picture on my fb!!
u u i have a picture of you look at this?
uhey can i post this picture of you on my fb?
u u i have your good lucking picture on my fb!!
u u i have a picture of you look at this?
이런 문구와 함께 페이스북 앱 링크와 같은 형식의 첨부된 주소가 붙습니다. 일단 사람들은 apps.facebook.com/앱 이름/ 과 같은 주소가 붙기 때문에 안전하다고 생각합니다. 이렇게 판단하고 링크를 누르면, 바이러스 파일로 연결되는 것입니다. 이 메시지로 전달되는 앱의 주소와 실제 주소를 비교해보겠습니다. 아래는 실제 fb에서 공인된 앱 주소입니다.
http://apps.facebook.com/airline_manager/?ref=bookmarks
이 주소는 실제로 제가 주로 사용하는 앱의 주소입니다.
http://apps.facebook.com/앱의 이름/ 이런 형식이 붙습니다.
그러나 이번 경우에는 뭔가 다르다는 것을 아실 수 있습니다.
(출처_toolz blog_) http://toolz.pe.kr/
툴즈님께서 분석해주신 결과입니다. 이것이 링크를 열고 리다이렉션되는 도중에 보여지는 주소입니다. 평소 페이스북의 앱 보다는 뒤에 긴 수와 알파벳이 붙죠. 이 링크를 열게 되면 이러한 웹페이지가 보여집니다. 조금이라도 관심이 있는 사용자라면 뭔가 이상하다는 것을 눈치채셨을 겁니다.
링크를 타고 이동하면 이런 페이지가 나옵니다. 페이스북의 구성 형식과 굉장히 유사하지요.
'사진이 다른 위치로 옯겨졌으며 사진을 보시려면 사진 보기를 눌러 이동하십시오'
http://apps.facebook.com/airline_manager/?ref=bookmarks
이 주소는 실제로 제가 주로 사용하는 앱의 주소입니다.
http://apps.facebook.com/앱의 이름/ 이런 형식이 붙습니다.
그러나 이번 경우에는 뭔가 다르다는 것을 아실 수 있습니다.
http://voize***.com/mp3/photo.php?=(15자리 숫자)&fb_sig_in_iframe=1&fb_sig_locale=ko_KR&fb_sig_in_new_facebook=1&fb_sig_time=(시간정보)&
fb_sig_added=0&fb_sig_country=kr&fb_sig_api_key=(32글자 16진수, MD5키로 추정)&fb_sig_app_id=106063326141313&
fb_sig=(32글자 16진수, MD5키로 추정)
툴즈님께서 분석해주신 결과입니다. 이것이 링크를 열고 리다이렉션되는 도중에 보여지는 주소입니다. 평소 페이스북의 앱 보다는 뒤에 긴 수와 알파벳이 붙죠. 이 링크를 열게 되면 이러한 웹페이지가 보여집니다. 조금이라도 관심이 있는 사용자라면 뭔가 이상하다는 것을 눈치채셨을 겁니다.
'사진이 다른 위치로 옯겨졌으며 사진을 보시려면 사진 보기를 눌러 이동하십시오'
이것을 다른 의미로 해석해보자면, 링크를 눌렀을 때 바로 파일이 다운로드되면 사람들이 의심을 느낄 가능성이 있으니, 페이스북을 위조한 웹사이트를 띄우고, 사람들을 사진 보기로 이동시키는 결과를 가져오도록 유도하는 것입니다. 이 창은 절대로 FACEBOOK에서 출력되는 페이지가 아니며, 위조한 가짜 페이지입니다.
이 페이지에서 View Photo를 누르는 순간,
http://voize***.com/mp3/PIC456454680759-JPG-www.facebook.com.exe
라는 이름을 가진 파일이 사용자의 컴퓨터로 다운로드됩니다. 그런데 파일 이름은 PIC(사진파일)로 시작하게 철저하게 위조되어 있습니다. 테스트 결과, 사용자에 따라서 PIC뒤에 붙는 파일의 이름은 모두 달라지는 것으로 나타났습니다.
에...... 보통 이미지 파일하고 좀 다르죠? 이 것이 바이러스의 본체로 보여집니다. 쉽게 말하자면 이 파일을 실행하는 순간, 유저의 PC에 바이러스가 퍼진다는 의미이죠.
이것이 실행되면 제 3자의 컴퓨터에서 내 컴퓨터로 무언가를 전송하는지, 내 컴퓨터에서 상대방의 컴퓨터로 무언가를 전송하는지 알 수는 없습니다. 열자 않는 것이 상책이라는 것이지요. 또한 사용자의 정보를 가지고 무슨 행동을 하는지 알 길 또한 없습니다.
간단하게 바이러스에 대해서 알아보았습니다만, 일종의 워밍업으로 생각하고 가볍게 읽어주세요. 결국 바이러스는 감염되지 않는게 답이고, 의심스러운 파일(특히 exe)들은 열지 않는 것이 가장 중요합니다. 스마트폰 만큼이나 많은 정보들이 여러분의 PC에 들어 있습니다. 이런 정보들을 지키는 것은 21세기 정보화시대에서 가장 중요한 일이 될 것입니다.
이 페이지에서 View Photo를 누르는 순간,
http://voize***.com/mp3/PIC456454680759-JPG-www.facebook.com.exe
라는 이름을 가진 파일이 사용자의 컴퓨터로 다운로드됩니다. 그런데 파일 이름은 PIC(사진파일)로 시작하게 철저하게 위조되어 있습니다. 테스트 결과, 사용자에 따라서 PIC뒤에 붙는 파일의 이름은 모두 달라지는 것으로 나타났습니다.
이것이 실행되면 제 3자의 컴퓨터에서 내 컴퓨터로 무언가를 전송하는지, 내 컴퓨터에서 상대방의 컴퓨터로 무언가를 전송하는지 알 수는 없습니다. 열자 않는 것이 상책이라는 것이지요. 또한 사용자의 정보를 가지고 무슨 행동을 하는지 알 길 또한 없습니다.
1. Facebook 채팅을 통한 감염
-> SNS 사이트 특성을 이용한 손쉬운 감염루트 확보
2. Facebook 내부에 개설한 앱에는 아무런 권한을 요청하지 않음
-> 사용자들이 별도의 경고창없이 접근하게 하며, Facebook 내부에서 확보한 사용자 개인정보를 확보함 (고유번호, 로케일 등)
3. 외부 페이지에서 바이러스 프로그램을 실행하도록 유도하는 내용을 삽입하고, 이를 앱에서 그 페이지를 열게 함
-> Facebook의 추적을 피하기 위한 것으로 추정.
간단하게 바이러스에 대해서 알아보았습니다만, 일종의 워밍업으로 생각하고 가볍게 읽어주세요. 결국 바이러스는 감염되지 않는게 답이고, 의심스러운 파일(특히 exe)들은 열지 않는 것이 가장 중요합니다. 스마트폰 만큼이나 많은 정보들이 여러분의 PC에 들어 있습니다. 이런 정보들을 지키는 것은 21세기 정보화시대에서 가장 중요한 일이 될 것입니다.
'잡다한 이야기' 카테고리의 다른 글
| 애플의 아이패드 미니, TV광고에 담긴 의미는 무엇이고, 국내 광고와 어떻게 다를까? (5) | 2012.12.18 |
|---|---|
| 잉여포스팅 - 누구를 뽑을 것인가? (0) | 2012.12.17 |
| MS 윈도우8 미드나잇 파티를 다녀왔습니다. (0) | 2012.10.26 |
| 애플 스페셜 이벤트 아이패드 부분 초간단 정리 (1) | 2012.10.24 |
| UCCW라는 어플리케이션으로 갤럭시S3의 시계 위젯을 이용해 보았습니다. (28) | 2012.08.19 |
