해당 악성코드 유포는 기존의 g123.exe 파일 유포자와 동일하며 사진 교체와 보안 제품 진단 우회를 목적으로 계속적인 변종을 제작하고 있는 것으로 보입니다.
h**p://www.hsgdh***.com :: 쪽지에서 제시되는 링크(URL)
h**p://www.hsgdh***.com/1.html
ㄴ h**p://www.hsgdh***.com/k.js
ㄴ h**p://www.hsgdh***.com/yangfd/adjku.exe
문제의 링크를 클릭할 경우 사용자 웹 브라우저 화면에서는 좌측과 같은 자극적인 여성의 사진이 노출되고 있으며, 1.html 스크립트를 통해 취약점이 존재하는 PC의 경우 자동으로 감염이 진행되도록 구성되어 있습니다.
해당 악성 스크립트에 대하여 마이크로소프트(Microsoft) 보안 제품에서는 Exploit:JS/Mult.CR (VirusTotal : 8/41) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
최종적으로 다운로드되는 adjku.exe (MD5 : 71ebd5a5491720c079bb0a86dfc43c56) 파일은 알약(ALYac) 2.0 Sophos 엔진에서 Mal/Behav-066 (VirusTotal : 19/41) 진단명으로 사전 차단하고 있는 것을 확인하였습니다.
해당 악성코드에 감염된 PC에서는 다음과 같은 2개의 파일을 생성하여 다양한 프로세스에 자신들을 추가하여 동작하는 것을 확인할 수 있습니다.
C:\WINDOWS\FXSST.dll (MD5 : 874dda77adbe2b66a58bf9e2d43b493a)
- Hauri ViRobot : Trojan.Win32.PSWMagania.16384.M (VirusTotal : 12/42)
C:\WINDOWS\system32\V3lght.dll (MD5 : bd0d9c72e3166536703d96cd97380fbb)
- Hauri ViRobot : Trojan.Win32.PSWMagania.16384.M (VirusTotal : 12/42)
생성된 V3lght.dll 파일은 Nexon에서 서비스하는 온라인 게임 던전앤파이터, 메이플스토리(MapleStory), 네이트온(NateOn), MSN 메신저 계정 정보를 탈취하는 기능이 포함되어 있습니다.
또한 기존과 동일하게 Internet Explorer 웹 브라우저의 실행을 방해하여, 사용자가 보안 업체 등의 인터넷 사이트 접속을 차단하고 있는 것을 확인할 수 있습니다.
감염된 PC에서 네이트온 메신저 로그인을 시도할 경우 기존과 동일하게 홍콩(HongKong)에 호스팅된 naokfha.com(61.93.204.67)로 계정 정보가 유출되는 것을 확인할 수 있습니다.
온라인 게임 계정 정보는 아이템 탈취 등의 금전적 피해를 유발하며, 메신저 계정 정보는 추가적인 유포에 활용하거나 메신저 피싱(Phishing)에 악용될 수 있으리라 추정됩니다.
그러므로 해당 악성코드에 감염된 사용자는 먼저 악성코드를 제거한 후, 반드시 온라인 게임 및 메신저 등 비밀번호를 변경하시기 바랍니다.
해당 악성 파일은 정상적인 프로세스에 자신을 추가하여 삭제를 방해하므로, 기존에 설명한 삭제 방법을 이용하여 삭제를 하시거나 보안 제품 정밀 검사를 통한 치료를 하시기 바랍니다.