네이트온(NateOn) 메신저 악성코드 : mabkddhs.rar (2010.5.29)

국내 네이트온(NateOn) 메신저 계정을 이용하여 친구 관계로 등록된 회원들에게 특정 악성 링크를 통해 악성코드를 유포하는 것을 확인하였습니다.

참고로 최근의 경우 주로 1대1 대화를 통한 압축 파일로 구성된 첨부 파일을 전송하는 방식과 함께 기존에 사용하던 링크를 통한 유포가 계속적으로 이루어지고 있습니다.

[악성코드 유포 경로]

h**p://www.tony*****.com
 - h**p://www.ayuorn***.com/laopdkj/mabkddhs.rar (mabkddhs.exe)

제시된 링크에 접속할 경우 자동으로 mabkddhs.rar 압축 파일을 다운로드 창이 생성되며, 해당 파일 내부에는 폴더 모양의 아이콘으로 구성된 mabkddhs.exe 파일이 포함되어 있습니다.

일반적으로 Windows 기본값에서는 파일이 아닌 폴더 모양으로 보이므로 무심결에 해당 파일을 실행하는 경우가 있으므로 매우 주의하시기 바랍니다.

hdsoe.jpg

mabkddhs.exe 파일은 RAR SFX 압축 파일로 제작되어 있으며 내부에는 좌측 그림 파일(hdsoe.jpg)과 함께 실질적으로 사용자 시스템을 감염시키는 vskhe.exe (MD5 : fdb8e2b6d1d7b611757d94962b207c12) 파일이 존재합니다.

vskhe.exe 파일에 대해서는 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.Infostealer (VirusTotal : 7/40) 진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.

해당 파일을 통해 설치된 악성코드에 감염된 시스템에서는 V3 보안 제품 무력화, 안철수연구소 사이트가드(AhnLab SiteGuard) 무력화 기능이 포함되어 있어 정상적인 시스템 보호를 방해하고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\del2765f.bat
C:\WINDOWS\Fonts\WinFat.ttf
C:\WINDOWS\system\SysMan.sys : 커널 모드 드라이버(시스템 시작시 자동 실행)
C:\WINDOWS\system32\WinTian.dll : 다양한 프로세스 삽입

설치된 악성코드는 dnf.exe (던전앤파이터(Dungeon & Fighter)), maplestory.exe (메이플스토리), nateonmain.exe (네이트온 메신저) 관련 프로세스를 감시하여 계정 정보를 탈취하고 있으며, 사용자가 Internet Explorer를 통해 로그인을 할 경우에도 정보가 외부로 유출될 가능성이 있습니다.

그러므로 네이트온을 통한 악성코드 감염시에는 치료가 완료될 때까지 인터넷 서비스 로그인 동작을 하지 마시기 바라며, 치료 후에는 안전을 위해 비밀번호 변경을 모두 하시기 바랍니다.

또한 해당 악성코드를 전달한 친구에게는 반드시 연락을 통해 네이트온 등록 비밀번호 변경을 하도록 요구를 하시는 것이 추가적인 피해를 예방할 수 있습니다.