네이트온(NateOn) 메신저를 이용한 특정 URL 주소 전송을 통해 해당 링크에 접속한 사용자 중 Internet Explorer 취약점, Adobe Flash Player 취약점이 존재할 경우 자동으로 감염을 유발하는 유포가 확인되었습니다.

해당 유포자는 기존에 동일한 방법으로 악성코드를 유포한 자로 추정되며, 해당 링크에 접속할 경우 자극적인 여성 사진을 제시하는 공통점이 있습니다.

해당 악성 URL 소스를 확인해보면 외형적으로 여성 사진만 노출이 이루어지며, 악성 iframe을 통해 Adobe Flash Player 취약점을 이용한 1.html 스크립트와 Internet Explorer 웹 브라우저 취약점(CVE-2010-0806)을 이용한 2.html 스크립트를 통해 보안 패치가 이루어지지 않은 사용자 PC의 자동 감염을 유발합니다.

참고로 1.html 파일은 알약(ALYac) 2.0 보안 제품에서 Exploit.JS.Mult.Swf 진단명으로 진단되며, 2.html 파일은 avast! 보안 제품에서 JS:CVE-2010-0806-DB 진단명으로 진단되고 있습니다.

해당 취약점은 MS10-018 보안 패치와 최근에 공개된 Adobe Flash Player 10.3 버전이 설치된 PC에서는 보안 제품의 진단 여부와 상관없이 감염되지 않습니다.

최종적으로 다운로드되는 teng.exe(MD5 : 91fc3d934f152d17642cf86b4f25c965) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack 진단명으로 진단되고 있으며, 사용자 PC에서는 [C:\WINDOWS\svchost.exe] 파일로 자신을 복제하여 동작합니다.

참고로 svchost.exe 파일은 원래 [C:\WINDOWS\system32\svchost.exe] 시스템 파일과 파일명이 동일하지만 위치하는 폴더 위치가 다르며, 동일한 이름으로 인하여 사용자가 확인하기에 어려움이 있습니다.

복제된 svchost.exe 파일은 System Service 이라는 이름으로 서비스에 등록한 후 홍콩(HongKong)에 위치한 61.93.204.91:80 서버에 접속하여 추가적으로 3개의 파일을 다운로드 시도를 하고 있습니다.


[svchost.exe 파일이 다운로드하는 설치 파일 진단 정보]

h**p://www.bbty****.com/ka***/gsd01.exe
 - MD5 : 64a16186cfdf6b34cb95ea9bc3034b28
 - Kaspersky : Trojan-Dropper.Win32.Agent.exkk (VirusTotal : 9/42)

h**p://www.bbty****.com/ka***/gsd02.exe
 - MD5 : 10e33b23e37353b269287ae5bb28cc18
 - Kaspersky : Trojan-Dropper.Win32.Agent.exkk (VirusTotal : 9/42)

※ h**p://www.bbty****.com/ka***/gsd06.exe :: 테스트 당시 다운로드 불가 상태

[생성, 변경 폴더 /  파일 등록 및 진단 정보]

C:\Program Files\%rCH3U5UF54DSxdE%

C:\WINDOWS\FXSST.dll
 - MD5 : E1FBF39FD952939886C43F9AE7D17664
 - Hauri ViRobot : Trojan.Win32.Onlinegamehack.31232

C:\WINDOWS\svchost.exe :: teng.exe 파일 자가 복제
 - MD5 : 91fc3d934f152d17642cf86b4f25c965
 - AhnLab V3 : Dropper/Win32.OnlineGameHack

C:\WINDOWS\Fonts\Ms.log :: 숨김(H) 속성
 - MD5 : A44D7EB524528DE3B724FD14C0FEE75E

C:\WINDOWS\system32\2011529151135.dll :: 2011(Random 9~10자리 숫자).dll 패턴

C:\WINDOWS\system32\lpk.dll :: 변경 전 파일 크기 : 22,016 Bytes / 변경 후 파일 크기 : 33,585,888 Bytes
 - MD5 : AC68FC89130EEF7799BFE73DE9D20F70
 - Dr.Web : Trojan.PWS.Gamania.30169


C:\WINDOWS\system32\lpk32.dll :: lpk.dll 백업 파일(정상 파일)

C:\WINDOWS\system32\V3lght.dll
 - MD5 : B16B64BB4D7BC95409F229AB2D32807E
 - Hauri ViRobot : Trojan.Win32.Amvo.Gen

감염 과정에서 정상적인 lpk.dll(Language Pack) 파일이 패치(Patch)되어 lpk32.dll 파일로 백업되며, lpk.dll 파일은 악성 파일로 교체가 이루어집니다.

감염된 PC는 시스템 시작시마다 서비스에 등록된 svchost.exe 파일이 자동 실행되며, 계속적으로 gsd01.exe / gsd02.exe / gsd06.exe 파일들을 다운로드 시도를 하도록 구성되어 있습니다.

또한 Windows 시작마다 시스템 폴더에 2011(Random 9~10자리 숫자).dll 파일 패턴 형태로 설치 시간을 기록하는 파일을 추가하는 동작을 확인할 수 있습니다.

악의적인 동작을 살펴보면 사용자가 네이트온(NateOn) 메신저를 실행하고 로그인을 시도할 경우 NateOnMain.exe 프로세스에 악성 파일 모듈을 추가하여 계정 정보를 외부로 유출하도록 구성되어 있습니다.

또한 FIFA, 피망(PMang), 메이플스토리(MapleStory), 던전앤파이터, 넷마블(NetMarble) 등 온라인 게임 사이트 로그인시 계정 정보를 유출하는 동작도 가능합니다.

감염된 사용자는 메신저 및 온라인 게임 로그인을 하지 않도록 주의하시기 바라며, 국내외 유명 보안 제품을 이용하여 정밀 검사를 하시길 권장합니다.

만약 수동으로 문제를 해결하기 원하시는 분들은 모든 프로그램을 종료한 상태에서 다음의 절차대로 진행하시기 바라며, 차후 보안 제품을 이용하여 정밀 검사를 반드시 하시기 바랍니다.

먼저 서비스(services.msc)에 등록된 System Service 항목을 찾아 서비스 상태를 중지로 변경을 합니다.

이 과정에서 [C:\Program Files\%rCH3U5UF54DSxdE%\26533220999.exe] 파일이 생성되어 FXSST.dll / V3lght.dll 파일을 재설치를 시도하므로 참고하시기 바랍니다.

참고로 26533220999.exe(MD5 : 0165623BD49393369ABA42CDE67F6379) 파일에 대하여 Microsoft 보안 제품에서는 VirTool:Win32/Obfuscator.GE 진단명으로 진단되고 있습니다.

서비스를 중지한 후에는 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\%rCH3U5UF54DSxdE%
  • C:\Program Files\%rCH3U5UF54DSxdE%\26533220999.exe
  • C:\WINDOWS\svchost.exe

또한 서비스 등록에 사용된 2개의 레지스트리 값을 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_*6E9D*56FA*BC11*C229*B969*86DF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\溝固밑숩륩蛟

해당 항목을 삭제 후에는 추가적으로 다음의 파일 확장자를 변경하시기 바랍니다.

  • C:\WINDOWS\FXSST.dll → FXSST.dll-
  • C:\WINDOWS\system32\2011(Random 9~10자리 숫자).dll → 2011(Random 9~10자리 숫자).dll-
  • C:\WINDOWS\system32\lpk.dll → lpk.dll-
  • C:\WINDOWS\system32\V3lght.dll → V3lght.dll-

참고로 lpk.dll 파일 확장자를 변경할 경우 윈도우 파일 보호(WFP) 기능으로 [C:\WINDOWS\system32\lpk.dll] 파일이 자동으로 생성(복원)되는 것을 확인할 수 있습니다.

모든 절차 후에는 반드시 시스템 재부팅을 한 후, 파일 확장자를 변경한 파일들을 찾아 모두 수동으로 삭제하시기 바랍니다.

현재 해당 악성코드 유포 행위는 중지되었지만, 감염된 PC의 경우 시스템 시작시마다 중국어로 제작된 계산기 프로그램이 생성되는 동작이 있을 수 있습니다.

그러므로 보안 제품을 이용하여 시스템 감염 여부를 철저하게 확인하시기 바라며, 치료 후에는 반드시 네이트온 메신저와 온라인 게임 계정 비밀번호를 변경하시는 것이 차후 금전적 피해 및 피싱(Phishing)을 예방할 수 있습니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바