슬렌프봇

Slenfbot

Slenfbot은 Microsoft Windows 시스템의 파일을 감염시키는 악성 소프트웨어(멀웨어) 제품군의 분류입니다.Slenfbot은 2007년에 처음 발견되었으며, 그 이후 수많은 변종들이 뒤따랐습니다. 각 변종은 약간 다른 특성과의 페이로드에 새롭게 추가되어 있습니다. 예를 들어 공격자에게 손상된 호스트에 대한 무단 액세스를 제공하는 기능 등이 있습니다.Slenfbot은 주로 사용자가 악의적인 페이로드가 포함된 웹 사이트로의 링크를 따르도록 유인함으로써 확산됩니다.Slenfbot은 인스턴트 메시징 애플리케이션, 이동식 드라이브 및/또는 로컬 네트워크를 통해 네트워크 공유를 통해 전파됩니다.Slenfbot의 코드는 밀접하게 관리되고 있는 것처럼 보이며, 이는 단일 그룹에 대한 속성을 제공하거나 코드의 상당 부분이 여러 그룹에서 공유되고 있음을 나타냅니다.Slenfbot은 다른 악성 프로그램 패밀리와 변종뿐만 아니라 지속적인 진화로 인해 손상된 시스템에 더 많은 피해를 입히는 경향이 있는 매우 효과적인 다운로드 업체입니다.

에일리어스

대부분의 안티바이러스(A/V) 벤더는 이 말웨어 패밀리를 언급할 때 다음과 같은 명명 규칙을 사용합니다(이름 끝에 있는 *는 이 말웨어 패밀리의 가능한 모든 분류 및/또는 구분을 나타내는 와일드카드입니다).

  • 슬렌프봇
  • 스테이크트

널리 알려진 대처

공식적으로 알려진 것은 없습니다.

멀웨어 프로파일

요약

Slenfbot은 MSN/Windows Live Messenger, AOL Instant Messenger(AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ, Skype 등의 인스턴트 메시징 프로그램을 통해 악성 소프트웨어(멀웨어)가 포함된 웹 사이트에 링크를 사용하여 전파되는 웜입니다.웜은 리무버블드라이브와 공유를 통해 또는 Windows 파일 공유 서비스(Server 또는 LanmanServer 서비스)를 통해 로컬 네트워크에서 자동으로 전파됩니다.Slenfbot에는 영향을 받는 [1][2][3][4][5][6]기계에 대한 무단 액세스를 허용하는 백도어 기능도 포함되어 있습니다.이 코드는 밀접하게 관리되고 있어 한 그룹에 귀속될 수 있으며 악성 프로그램 작성자가 코드의 상당 부분을 공유하고 있는 것으로 보입니다.Slenfbot은 2007년부터 야생에서 발견되었으며, 시간이 지남에 따라 새로운 기능과 기능을 획득했으며, 후속 변형은 동일하지는 않더라도 유사한 기능 세트를 체계적으로 획득했습니다.이 때문에 Slenfbot은 추가 악성 프로그램의 효과적인 감염자 및 동적 다운로드자로 계속 운영되기 때문에 다른 스파이웨어, 정보 도용자, 스팸 봇 및 기타 [4]악성 프로그램의 높은 기능 전달 메커니즘이 됩니다.

인스톨

실행 시 Slenfbot은 악성 페이로드의 복제를 파일 이름과 함께 %SYSTEM% 폴더에 복사합니다.이 폴더는 특정 변형에 따라 다르며 복사 속성을 읽기 전용, 숨김 및 시스템으로 설정하여 Windows 탐색기에서 내용을 숨깁니다.다음으로 웜은 레지스트리를 변경하여 영속성을 유지합니다.이것에 의해, 이후의 시스템을 기동할 때마다 말웨어가 복제 카피를 실행합니다(예를 들면, 악의적인 실행 파일을 HKLM\Software\Microsoft에 카피).Windows\Current Version\서브키 실행).여러 변형에서 설치 중에 레지스트리를 수정하여 인터넷 액세스가 허용된 응용 프로그램 목록에 멀웨어를 추가할 수 있습니다. 따라서 멀웨어가 윈도우즈 보안 경고를 발생시키지 않고 통신할 수 있고 윈도우즈 [1][2][3][4][5][6]방화벽의 방해 없이 실행될 수 있습니다.

경우에 따라 바리안트가 레지스트리를 변경하여 악성 페이로드가 양성 시스템파일 ctfmon 디버거로서 인스톨 되는 경우가 있습니다.ctfmon을 실행합니다.exe는 시스템 시작 시 실행되며 이로 인해 [1]멀웨어가 실행됩니다.

대부분의 경우 Slenfbot은 웜의 원래 복사본을 삭제하려고 합니다.일부 변형에서는 시스템 [1][2][3][5][6]재부팅 시 원래 실행된 웜의 복사본을 삭제하기 위해 레지스트리를 추가로 변경할 수 있습니다.

일부 Slenfbot 모델은 초기 실행 시 MSN/Windows Live Messenger가 "MSBLIndowClass"라는 클래스 이름의 창을 찾아 현재 실행 중인지 여부를 테스트합니다.웜이 창을 발견하면 악성코드에 가짜 [1]오류 메시지가 표시될 수 있습니다.

Slenfbot이 이동식 드라이브에서 실행되는 경우 일부 변형에서 Windows 탐색기가 열리고 영향을 받는 드라이브의 내용이 표시될 수 있습니다.특정 Slenfbot 변종에서는 스레드를 explor.exe에 삽입할 수 있습니다.이것에 의해, 정기적으로 시스템 폴더에 말웨어가 존재하는지 여부가 체크됩니다.파일을 찾을 수 없는 경우 멀웨어는 지정된 서버에서 새 복사본을 다운로드하고 새 [1][4][6]복사본을 실행합니다.

전파 방법

인스턴트 메시징

Slenfbot은 다른 계정과 연락처로 웜을 확산시키기 위해 인스턴트 메시징을 공격 벡터로 사용합니다.원격 공격자는 웜의 백도어 기능을 사용하여 Slenfbot이 MSN/Windows Live Messenger, AOL Instant Messenger(AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ 및 Skype를 통해 전파되도록 지시할 수 있습니다.웜은 리모트서버에 접속하여 URL 의 카피를 송신합니다.이 URL에는 랜덤으로 송신할 수 있는 메시지의 리스트가 포함되어 있습니다.또, 말웨어의 카피를 포함한 ZIP 아카이브를 작성한 후, ZIP 아카이브를 다른 인스턴트 메시징 클라이언트 [1][2][3][4][5][6]연락처로 송신합니다.다음으로 웜이 전파될 가능성이 있는 메시지의 예를 제시하겠습니다.

  • 진심이에요? 정말 당신이에요?
  • 하하! 이거 재밌다!여기, 이 남자들 셔츠를 읽어봐
  • 이게 정말 네 사진이야?
  • 이것 좀 봐!!!
  • 이게 바로 내 꿈의 차야![5]

ZIP 파일에는 Slenfbot 실행 파일의 파일 이름이 포함되어 있으며 공격자가 웜에 임의 파일을 보내도록 지시한 경우 다운로드할 파일의 URL이 포함될 수도 있습니다.[1][5][6]

이동식 드라이브

Slenfbot은 이동식 드라이브의 루트 디렉터리에 "RECyclER"라는 디렉터리를 생성하여 이동식 드라이브로 확산될 수 있습니다.그런 다음 악성 프로그램은 "RECYCLER" 폴더에 하위 디렉터리(예: "S-1-6-21-1257894210-1075856346-012573477-2315)를 생성하고 실행 파일의 다른 이름(예: "folder open.exe")을 사용하여 악의적인 페이로드를 디렉터리에 복사합니다.Slenfbot은 또한 드라이브의 루트 디렉터리에 autorun.inf 파일을 생성하여 드라이브가 다른 [1][6]시스템에 연결된 경우 웜을 실행할 수 있습니다.

특정 변형은 웜에서 지정된 위치에서 Slenfbot의 업데이트된 복사본을 다운로드하여 디렉토리에 파일을 쓸 수 있습니다(예: "~secure"라는 이름을 사용).웜이 자신을 복사하는 모든 위치에 대해 Slenfbot은 숨겨진 속성과 시스템 속성을 각 디렉토리와 [1][5][6]파일에 설정합니다.프로그래밍 문제로 인해 Slenfbot은 두 개의 디렉토리가 아닌 하나의 디렉토리만 작성할 수 있습니다(예: "E:\RECYCYCYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe")[1]

파일 공유 및 인쇄 공유

Slenfbot은 시스템이 성공적으로 손상되면 접근 가능한 공유로 확산될 수 있습니다.이 웜은 MS06-040 또는 MS10-061 등의 기존의 취약성을 이용하여 파일 공유 및 인쇄 공유로 확산될 수도 있습니다.이 취약성은 각각 서버 및 인쇄 스풀러 서비스와 관련된 문제와 관련되어 있습니다.공격자는 Slenfbot의 [1][5][6][7][8]전파를 계속하기 위해 악용 또는 인스턴트 메시징을 통해 웜을 원격 시스템으로 전파하도록 지시해야 합니다.

페이로드

  • Slenfbot은 특정 TCP 포트를 통해 Internet Relay Chat(IRC; 인터넷 릴레이 채팅) 서버에 접속을 시도하고(IRC 채널과 포트 번호는 바리안트에 따라 다를 수 있음), 채널에 접속한 후 명령어를 대기합니다.그 후 공격자는 백도어를 사용하여 악성 프로그램 삭제, 다른 IRC 채널 접속 등 손상된 시스템에서 추가 액션을 수행할 수 있습니다.임의의 파일을 로드/삭제하거나 다른 인스턴트 메시징 계정으로 전파합니다.
  • Slenfbot은 %SYSTEM%\drivers\etc를 대체하여 호스트 파일을 변경합니다.파일이 있는 \hosts. 변경된 호스트 파일에는 다양한 안티바이러스 및 보안 관련 도메인을 localhost(즉, 127.0.0.1) 또는 임의의 IP 주소로 지정하는 엔트리가 여러 개 포함될 수 있습니다.이 경우 사용자가 도메인목록을 참조할 수 없게 됩니다.또한 파일에는 호스트 파일n 에 있는 외관을 나타내는 빈 줄이 다수 포함될 수 있습니다.수정되지 않았다
  • Slenfbot은 현재 디렉터리에서 *.zip 및 *.com이라는 이름의 파일을 삭제하는 명령을 실행합니다.이 디렉토리는 Windows Messenger가 다운로드한 파일을 저장하는 기본 위치입니다.이 디렉토리는 Windows Messenger를 통해 수신한 웜의 원래 복사본을 삭제하는 것입니다.
  • 일부 Slenfbot 변형은 %TEMP% 디렉터리에 파일("RemoveMexxx.bat")을 만들 수 있습니다. 이 파일은 검색되지 않도록 실행 후 복사본을 삭제하려고 하는 배치 파일입니다.
  • Slenfbot은 시스템 복원, 태스크 매니저, Windows 레지스트리 에디터를 사용하지 않도록 설정하거나 숨겨진 속성을 가진 파일을 볼 수 없도록 하기 위해 포함할 수 있는 다양한 레지스트리 키 및 하위 키와 값을 삭제합니다.또한 웜은 바이러스 대책, 방화벽을 사용하지 않도록 설정하거나 데이터 실행 방지(DEP)를 사용하지 않도록 설정할 수도 있습니다.시스템에 대한 다른 수정사항의 왕. 일부 변형은 시스템에서 영속성을 유지하기 위해 정기적으로 변경사항의 개서를 할 수 있습니다.
  • Slenfbot은 검출되지 않고 영속성을 유지하기 위해 보안 관련 프로세스를 종료하고 손상된 시스템에서 서비스를 중지, 비활성화 및 삭제할 수 있습니다.
  • Slenfbot은 탐색기 프로세스에 코드를 삽입하여 웜이 삭제되는 것을 방지하거나 프로세스 종료 시 페이로드가 다시 열리는 것을 방지할 수 있습니다.
  • Slenfbot은 태스크 매니저로부터 악의적인 프로세스를 숨길 수도 있습니다.
  • Slenfbot 변형은 변형에 따라 다른 뮤텍스를 생성할 수 있습니다.
  • Slenfbot은 다른 리모트 시스템에서 데이터를 수신한 후 추가 명령을 실행할 수 있습니다.또한 손상된 시스템을 추가로 수정하기 위한 명령도 포함되어 있을 수 있습니다.
  • Slenfbot은 스팸 릴레이, 정보 도용, 스파이웨어 툴바 설치 및 기타 악의적인 캠페인 전파를 위해 추가 멀웨어를 다운로드 및 설치할 수 있습니다.Slenfbot의 초기 페이로드에서는 손상된 호스트에 추가 멀웨어를 로드하기 위한 1단계 다운로드 역할을 합니다.

예방

감염을 방지하는 방법은 다음과 같습니다.

  • 설치된 모든 소프트웨어에 대한 최신 컴퓨터 업데이트 가져오기
  • 최신 안티바이러스 소프트웨어 사용
  • 컴퓨터에 대한 사용자 권한 제한
  • 링크를 클릭하기 전에 송신자에게 링크를 전송했는지 확인하도록 지시합니다.
  • 웹 페이지 링크를 클릭할 때 주의하십시오.
  • 첨부 파일을 열고 파일 전송을 수락할 때 주의하십시오.
  • 온라인 서비스를 사용하여 파일 및 URL 분석(Malwr,[9] VirusTotal,[10] Anubis,[11] Wepawet [12]등)
  • 신뢰할 수 있는 게시자의 소프트웨어만 실행
  • 소셜 엔지니어링의 공격으로부터 자신을 보호합니다.
  • 강력한 암호를 사용하고 정기적으로 암호 변경

회복

Slenfbot은 스텔스 수단을 사용하여 시스템의 지속성을 유지합니다.따라서 시스템을 제거하려면 신뢰할 수 있는 환경으로 부팅해야 할 수 있습니다.Slenfbot은 Windows 레지스트리를 변경하는 등의 방법으로 바이러스 대책 다운로드, 설치 및/또는 업데이트가 어려울 수 있습니다.또한 많은 종류의 Slenfbot이 사용 가능한 이동식/원격 드라이브 및 네트워크 공유에 전파되므로 복구 프로세스에서 알려진 모든 위치에서 멀웨어를 완전히 탐지하고 제거하는 것이 중요합니다.

가능한 해결책 중 하나는 Microsoft의 Windows Defender Offline Beta를 사용하여 Slenfbot을 검색하여 시스템에서 제거하는 것입니다.Windows Defender Offline 의 상세한 것에 대하여는, http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline 를 참조해 주세요.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c d e f g h i j k l m n o p q r s t u v Microsoft Malware Protection Center (2008-08-26). "Win32/Slenfbot". Microsoft. Retrieved 2012-06-17.
  2. ^ a b c d e f g Microsoft Malware Protection Center (2012-02-15). "Worm:Win32/Stekct.A". Microsoft. Retrieved 2012-06-17.
  3. ^ a b c d e f g h Microsoft Malware Protection Center (2012-02-29). "Worm:Win32/Stekct.B". Microsoft. Retrieved 2012-06-17.
  4. ^ a b c d e f g h Microsoft Malware Protection Center (2008-09-17). "Win32/Slenfbot - Just Another IRC bot?". Hamish O'Dea. Retrieved 2012-06-17.
  5. ^ a b c d e f g h i j k l m n Methusela Cebrian Ferrer (2008-10-01). "Win32/Slenfbot". CA Technologies. Retrieved 2012-06-17.
  6. ^ a b c d e f g h i j k l m n ESET Threat Encyclopaedia (2011-01-17). "Win32/Slenfbot.AD". ESET. Retrieved 2012-06-17.
  7. ^ Microsoft Security Tech Center (2006-08-08). "Microsoft Security Bulletin MS06-040". Microsoft. Retrieved 2012-06-17.
  8. ^ Microsoft Security Tech Center (2010-09-14). "Microsoft Security Bulletin MS10-061". Microsoft. Retrieved 2012-06-17.
  9. ^ "Malwr.com". Retrieved 2012-06-17.
  10. ^ "VirusTotal". Retrieved 2012-06-17.
  11. ^ "Anubis". Retrieved 2012-06-17.
  12. ^ "Wepawet". Retrieved 2012-06-17.
  13. ^ Kurt Avish (2012-05-22). "Stekct.Evl". Sparking Dawn. Retrieved 2012-06-17.
  14. ^ Maninder Singh (2012-05-22). "Stekct.Evi". HackTik. Retrieved 2012-06-17.