본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : wifhg .rar (2010.7.1)

반응형
최근에 그 동안 네이트온(NateOn) 메신저를 통해 유포되던 배포 파일 형식에서 벗어나 새로운 형태로 배포 파일을 구성한 악성코드가 발견이 되었습니다.


[악성코드 유포 경로]

h**p://www.zail***.com
 - h**p://www.stort**.com/sjdouio/wifhg%20.rar (암호   123.exe)

탈취된 네이트온 계정을 이용하여 악성 링크(URL)를 제시하여 사용자가 해당 링크에 접근할 경우 wifhg .rar 압축 파일을 다운로드하도록 구성되어 있습니다.

여기까지는 기존의 방식과 동일하지만, 해당 압축 파일을 사용자가 압축 해제할 경우 다음과 같은 화면을 보실 수 있습니다.

 
즉 다운로드된 wifhg .rar 파일에 압축 암호로 보호를 하여, 1차적으로 사용자가 해당 압축 파일 자체를 보안 제품을 통해 수동 검사를 시도할 경우 암호로 인하여 내부 파일을 검사하지 못하게 방해를 하고 있습니다.(실제 배포자가 대화창을 통해 압축 암호를 알려주는지는 확인되지 않았습니다.)

하지만 해당 압축 파일 내부에 존재하는 [암호   123.exe] (MD5 : 203cb2f6aec61997fc910cf012f622f3) 파일을 통해 압축을 해제할 경우 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Suspicious (VirusTotal : 22/41) 진단명으로 사전 차단을 하고 있습니다.

해당 exe 파일은 기존의 RAR SFX 압축 파일이 아닌 UPX 실행 파일로 구성되어 있으며, 지금까지 알려진 해당 파일을 실행할 경우 사용자에게 제시되는 그림 파일이 제외되어 있는 것을 확인할 수 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\del26da4.bat
C:\WINDOWS\Fonts\WinFat.ttf
C:\WINDOWS\system\SysMan.sys : 서비스 등록
C:\WINDOWS\system32\WinTian.dll : 타 프로세스 삽입

사용자가 해당 악성코드에 감염된 경우 기존에 알려진 형태처럼 SysMan.sys 드라이버 파일을 서비스로 등록하여 자동 실행되며, WinTian.dll 파일을 다양한 프로세스에 삽입하여 온라인 게임 계정 탈취 등의 악의적인 동작을 할 것으로 보입니다.

이번 경우와 같이 압축 암호로 보호된 경우인데도 압축을 해제하여 실행하는 어리석은 행동을 하지 않도록 주의하시기 바라며, 압축 파일 내부에 존재하는 파일이 한글명으로 구성된 점 등을 통해 더욱 지능적으로 사용자 시스템을 감염시키려는 치밀함을 확인할 수 있습니다.
728x90
반응형