본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : thumb_0.exe (2010.10.31)

반응형
여전히 네이트온(NateOn) 메신저를 이용한 친구, 가족 관계의 상대에게 악성 링크를 전송하여 시스템 감염을 통한 개인정보 유출 및 온라인 게임 계정 탈취를 목적으로 한 악성코드 유포 행위가 계속적으로 이루어지고 있습니다.

[유포 경로]

h**p://www.golden****.com
 ㄴ h**p://www.funky*******.co.kr/cyGame/images/thumb_0.exe


네이트온 쪽지를 통해 유포가 이루어지고 있는 것으로 알려진 해당 악성코드는 그림 파일 모양의 아이콘으로 위장하여, 파일 확장자명이 표기되지 않도록 기본값을 설정한 사용자의 경우 그림 파일로 오해하여 실행하는 문제가 발생할 수 있습니다.

다운로드된 thumb_0.exe (SHA1 : d934bec91f8ca39f368eeab5197c7ad4d6f761a5) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Malware/Win32.Xed (VirusTotal : 13/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\m_user.dll :: 숨김(H) 속성
C:\WINDOWS\system32\V3lght.dll (SHA1 : 3CE345186EFDAB618A3BC8463A597C20DFD561E4)

감염된 시스템에서는 기존에 알려진 시스템 폴더(%windir%\system32) 내부에 V3lght.dll 파일을 생성하여 계정 정보 탈취 등의 악의적 동작을 하는 것으로 알려져 있습니다.

이번의 V3lght.dll 파일의 특징은 파일 크기가 32MB(33,580,560 Bytes)로 생성되어 바이러스토탈(VirusTotal)과 같은 온라인 검사를 하지 못하도록 더미(Dummy) 코드를 추가한 것이 아닌가 추정됩니다.

V3lght.dll 파일 정보를 살펴보면 Macrovision Europe Ltd. 업체에서 제작한 Activation Licensing Service Installer 파일로 위장하고 있습니다.

또한 유효한 디지털 서명이 포함되어 있지만, 신뢰할 수 없는 루트 인증서(Root Certificate)를 포함하고 있다는 특징을 통해 보안 제품 진단을 우회하려는 시도가 있습니다.

네이트온 메신저를 통해 유포되는 악성 링크에서 제공하는 파일을 다운로드한 사용자는 절대로 실행하지 마시고 삭제를 하시기 바라며, 감염된 사용자는 보안 제품을 통한 치료 후 반드시 온라인 게임, 네이트 계정 등 가입된 인터넷 사이트 비밀번호를 변경하시기 바랍니다.
728x90
반응형