본문 바로가기

벌새::Analysis

윈도우 취약점을 악용한 네이트온 악성코드 : 사진0631-0002.scr

반응형
주말을 이용하여 국내 인기 메신저 네이트온(NateOn), 버디버디를 중심으로 친구로 등록된 사용자에게 사진 관련 링크를 제시하면서 해당 링크를 클릭시 윈도우 보안 취약점을 가진 사용자를 감염시키는 악성코드의 유사 변종이 발견되었습니다.

[악성코드 유포 경로]

h**p://cyworld.com.****.com/image/77884/사진0631-0002,jpg
 - h**p://freedns.******.org/blank.html
 - h**p://www.tkle*****.co.kr/board/file/1248581180.c1daisuchgdiuanh98c12nu983n981?/image/77884/%BB%E7%C1%F80631-0002,jpg
  -> (파일 다운로드) h**p://mam**-****.org/gf/download/snippet/23/1214/%EC%82%AC%EC%A7%840631-0002.scr


토요일에 유포하던 링크를 약간 수정을 하였으며, 최종적으로 다운로드되는 파일명이 한글명을 가지고 있으므로 매우 국내에 최적화된 악성코드입니다.


[사진0631-0002.scr 진단 정보 - MD5 : c0363f3a2342c0bb3872275cf8fd066a]

AntiVir 7.9.0.228 2009.07.24 TR/Crypt.XPACK.Gen
F-Secure 8.0.14470.0 2009.07.25 Suspicious:W32/Malware!Gemini
McAfee-GW-Edition 6.8.5 2009.07.26 Trojan.Crypt.XPACK.Gen
Sophos 4.44.0 2009.07.26 Sus/UnkPacker


이번 역시 패커(Packer) 진단을 제외하고는 보안제품에서 진단이 되지 않고 있는 상태로 감염시 일정 시간동안 개인정보가 다수 유출될 위험이 있습니다.

감염 방식은 윈도우 보안 취약점 2건에 대하여 어느 한쪽의 보안 패치가 이루어지지 않은 상태에서는 감염이 이루어질 수 있습니다.

물론 모든 패치가 이루어진 상태에서도 제공되는 화면 보호기(scr 파일) 파일을 다운로드하여 실행을 할 경우에는 감염이 이루어집니다. 그러므로 메신저 상에서 친구로 등록된 경우에도 신뢰할 수 없는 링크를 제시하며 평소와 다른 모습을 보일 경우에는 절대로 링크에 접근하지 말아야 합니다.

이미 감염된 경우에는 조만간 제공되는 보안제품의 진단 및 치료 업데이트를 통해 치료를 하시기 바라며, 반드시 치료 후에는 사용하시는 네이트온 비밀번호를 교체하시기 바랍니다.

또한 네이트온 비밀번호와 동일하게 구성된 타 웹 사이트가 존재하다면 해당 사이트 비밀번호도 모두 교체하시는 것이 만약을 위해서 가장 안전합니다.

이런 방식으로 감염된 컴퓨터는 사용자 몰래 네이트온이 로그인되어 친구로 등록된 사용자에게 악성코드를 뿌리거나 돈을 요구하는 행위가 발생할 수 있으므로 이런 쪽지를 보내는 친구가 있다면 개인적인 연락을 하여 컴퓨터에 감염된 악성코드 치료 및 비밀번호 교체를 강력히 알려주시기 바랍니다.

일부 유명 보안제품만을 믿고 인터넷을 이용하는 분들이 있을 수 있는데 공격자는 교묘하다는 사실 잊지 마시기 바랍니다.


728x90
반응형