본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : see.scr (2009.12.15)

반응형
국내 메신저 네이트온(NateOn)을 통해 여전히 악성코드가 포함된 링크를 연결하는 방식으로 유포가 이루어지고 있습니다.


[악성코드 유포 경로]

h**p://www.zip*****.com/
 - h**p://www.ayuorn***.com/love/see.scr

Internet Explorer 8 기준


현재 해당 링크를 통해 다운로드되는 see.scr 화면 보호기 파일의 경우, MS Internet Explorer에서 보안 경고를 통해 안전하지 않은 다운로드임을 표시하고 있습니다.

바이러스토탈(VirusTotal)에 해당 파일이 12월 14일 등록된 것을 고려한다면 상당히 빠르게 사용자에 의해 악성 다운로드 신고가 접수된 것으로 추정됩니다.


해당 see.scr 파일 내부에는 [love.exe / naer.exe / pp.jpg] 파일로 압축되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 외부 네트워크와 연결하여 악성코드를 다운로드하여 설치합니다.

pp.jpg


하지만 사용자의 컴퓨터 화면에서는 그림과 같은 강아지 사진으로 위장을 하고 있으므로 악성코드 설치를 인지하기 어렵습니다.

see.scr(MD5 : 5e9ee516050895571de0cdbf45a386e8)


해당 다운로드 파일은 안철수연구소(AhnLab) 보안제품 V3에서 Win-Trojan/OnlineGameHack.137517 진단명으로 진단하는 것을 확인할 수 있으며, 해당 악성코드는 온라인 게임 계정 탈취 목적으로 제작된 것을 확인할 수 있습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = C:\WINDOWS\system32\hf0008.exe


현재 대다수 국내외 보안제품에서 진단하고 있으므로 만약 감염된 사용자나 해당 링크를 통해 접속을 하셨던 분들은 인터넷 임시 폴더를 비우시고, 보안제품을 이용하여 정밀 검사를 해 보시기 바랍니다.

728x90
반응형