본문 바로가기

벌새::Security

네이트온(NateOn) 악성코드 개념 정리

반응형
일부 악성코드는 국지적 성격을 매우 강하게 띠고 있으며 악성코드 전파 매체 방식도 특정 지역에서만 사용하는 프로그램을 이용하는 경우가 있습니다.

그 중에서도 국내의 경우 SK Communications에서 서비스하는 네이트온(NateOn) 메신저를 통해 실제 자신과 친구 관계를 맺은 분의 계정을 이용하여 대화창(쪽지)을 이용하여 자극적인 문구로 특정 링크에 접속하도록 유도를 하는 경우가 있으며, 친구 관계 또는 호기심에 해당 링크를 클릭하여 다운로드되는 파일을 실행하면서 감염되는 경우가 최근 부쩍 늘어나고 있는 것으로 보입니다.

이러한 네이트온을 통해 전파되는 악성코드의 경로와 감염 방식 및 동작에 관한 개념을 정리하여 보았습니다.(해당 개념 정리도는 개인에 의해 작성된 내용으로 신뢰할 수 없는 내용이 포함되어 있을 수 있습니다.)
현재 밝혀진 내용에 따르면 대체로 해당 공격은 중국쪽에서 네이트온을 표적으로 전문적으로 제작된 악성코드를 사용하며 특히 국내 보안 환경에 맞추어진 형태로 국내외 유명 보안제품 뿐만 아니라 비주류 국내 보안 솔루션 제품까지 차단하는 등 상당히 국내에 최적화된 악성코드라고 알려져 있습니다.

일단 네이트온 친구 관계 또는 무작위 발송을 통해 특정 링크가 포함된 대화창이나 최근의 경우 쪽지 발송을 통하여 해당 링크를 클릭할 경우 화면보호기용 파일 포멧(scr) 형태를 취하는 악성코드 파일이 사용자 컴퓨터에 다운로드 됩니다.

사용자는 친구 관계인 경우 신뢰하고 해당 파일을 실행하거나 호기심으로 인하여 파일을 실행할 경우 임시 폴더에 여자 사진이 동봉된 파일과 함께 특정 서버로부터 추가적인 악성코드를 다운로드할 드랍퍼(Dropper)를 설치합니다.

일정 시간이 지나면 임시 폴더의 파일들은 악의적 서버로부터 악성코드를 다운로드 받으며 자신은 삭제가 됩니다. 다운로드 받은 악성코드는 윈도우 폴더 내에 사용자 몰래 설치가 되어 다양한 개인정보를 탈취하고 있습니다.

알려진 바로는 온라인 게임 계정(실제 사용자가 특정 온라인 게임 사이트에 로그인할 경우 정보 탈취), 네이트온 계정, 포털 사이트 계정 등을 탈취하여 추가적인 범죄를 행하고 있는 것으로 보입니다.

또한 자신들이 설치한 악성코드를 보호하기 위해 사용자의 보안제품을 무력화시키거나 다양한 방식으로 진단하지 못하도록 방해를 하고 있습니다.

여기에서 한 발 더 나아가 감염자의 네이트온 계정을 통하여 친구 관계를 맺은 사람에게 또 다시 공격을 하는 방식을 통하여 실제 감염자가 모르는 사이에 공격자가 되는 일이 발생할 수 있습니다.

일반적인 인터넷 이용자의 경우 이런 문제를 수동으로 해결하려고 하지 마시고 반드시 보안제품을 이용하여 정밀 검사를 하시기 바라며, 먼저 자신의 컴퓨터에 설치된 악성코드를 반드시 치료하신 후에 온라인 게임, 네이트온 계정, 각종 포털 사이트 비밀번호 교체를 추가적으로 하시는 것이 제2의 피해를 예방할 수 있으리라 생각됩니다.

알려진 바에 따르면 네이트온을 통해 전파되는 악성코드에 감염시 네이트온 로그인을 시도할 경우 오류 메시지와 함께 네이트온에서 제공하는 감염 경고 메시지가 출력된다고 합니다.

해당 악성코드는 다른 악성코드에 비해 국내 인터넷 환경을 잘 역이용하는 모습과 함께 주말 등 보안제품의 약한 시간대를 이용하는 패턴 등을 보이며 주기적으로 변종을 내놓고 있습니다.

그러므로 아무리 친구 관계일지라도 짧은 자극성 문구와 함께 제공되는 링크는 클릭하지 마시고 반드시 신고를 통해 자신의 시스템과 친구들을 보호하시기 바랍니다.

또한 만약 그런 쪽지를 발송하는 친구가 있으면 해당 문제에 대해 인지를 시켜서 악성코드 치료 및 비밀번호 교체를 하도록 충고를 하는 것도 잊지 마시기 바랍니다.

 
728x90
반응형