본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 - smile.scr

반응형

3월 들어서
네이트온(NateOn) 메신저를 통해 악성코드가 또 다시 유포되고 있는 것으로 확인이 되었습니다.

[유포 경로]

hxxp://blog.podxxxx.net/
hxxp://blog.podxxxx.net/photo/39004496967/smile.bmp
 - hxxp://www.mediguide.co.kr/xxxxx/file/f.html
 - hxxp://www.mediguide.co.kr/xxxxx/file/f.html/photo/39004496967/smile.bmp
  -> hxxp://pds13.egloos.com/pds/xxxxxx/24/69/sorry.jpg
   ->> hxxp://pds12.egloos.com/pds/xxxxxx/02/69/smile.scr

이번 악성코드의 최종적인 파일 단위 다운로드 유포지가 이글루스 블로그에 업로드된 파일인 점이 특이합니다. 확실히 SK Communications의 서비스를 잘 활용하고 있다고 보여집니다.

또 하나의 특징은 해당 유포 사이트에 접속을 할 경우 안철수연구소 사이트가드(SiteGuard) 사진 파일을 통해 마치 안전한 것처럼 위장을 하고 있습니다. 실제 해당 사이트가드의 접속 사이트는 이 역시 SK의 싸이월드(Cyworld)를 표시하고 있습니다.

최종적으로 다운로드 되는 화면 보호기 파일(smile.scr) 파일은 이글루스에 업로드된 파일임을 확인할 수 있습니다.

또 다른 유포 경로 중의 하나는 의료 관련 컨설팅 웹 사이트 메디가이드를 통해 중간 매체로 활용되고 있는 것으로 보입니다.

다운로드된 화면 보호기를 실행할 경우 위와 같은 중국 여자로 추정되는 사진 파일이 생성이 되고 나머지 파일들은 다음의 경로에 몰래 설치가 되고 있습니다.

[악성코드 설치 경로]

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\SystemCertificates\PSTO

설치된 파일 중 일부는 시스템, 숨김 속성을 가지고 있으므로 폴더 옵션의 숨김 파일 표시를 하여도 실제 해당 폴더에서 보이지 않습니다.


설치가 완료된 악성코드는 위와 같이 csrss.exe / winlogon.exe 프로세스를 생성하여 외부의 특정 포트를 열어 명령을 기다리는 것으로 보입니다.

 해당 서버는 중국, 대만, 영국, 대한민국 등 다양하게 퍼져 있지만 해당 악성코드의 유포지는 중국으로 추정이 됩니다.

해당 악성코드에 감염된 경우 트래픽이 상승하여 인터넷 속도 저하 및 시스템 속도 저하 등을 겪을 수 있으며, 개인 정보 등 공격자가 원하는 정보를 탈취 당할 가능성이 높습니다.

[VirusTotal 진단 상황]

Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.03.02 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.03.01 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.03.01 -
Avast 4.8.1335.0 2009.03.01 -
AVG 8.0.0.237 2009.03.01 -
BitDefender 7.2 2009.03.02 -
CAT-QuickHeal 10.00 2009.03.02 -
ClamAV 0.94.1 2009.03.02 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.03.02 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6379 2009.03.02 -
F-Prot 4.4.4.56 2009.03.01 -
F-Secure 8.0.14470.0 2009.03.01 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2009.03.02 -
GData 19 2009.03.02 -
Ikarus T3.1.1.45.0 2009.03.02 -
K7AntiVirus 7.10.649 2009.02.27 -
Kaspersky 7.0.0.125 2009.03.02 -
McAfee 5540 2009.03.01 -
McAfee+Artemis 5540 2009.03.01 Generic!Artemis
Microsoft 1.4306 2009.03.01 -
NOD32 3899 2009.03.02 probably a variant of Win32/Packed.Themida
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.03.02 -
Panda 10.0.0.10 2009.03.01 -
PCTools 4.4.2.0 2009.03.01 -
Prevx1 V2 2009.03.02 -
Rising 21.19.00.00 2009.03.02 -
SecureWeb-Gateway 6.7.6 2009.03.02 Trojan.Crypt.XPACK.Gen
Sophos 4.39.0 2009.03.02 -
Sunbelt 3.2.1858.2 2009.02.28 -
Symantec 10 2009.03.02 -
TheHacker 6.3.2.6.268 2009.03.01 -
TrendMicro 8.700.0.1004 2009.03.02 -
VBA32 3.12.10.1 2009.03.01 -
ViRobot 2009.2.28.1629 2009.03.02 -
VirusBuster 4.5.11.0 2009.03.01 -
Additional information
File size: 1462272 bytes
MD5...: 207471e6ab3d9b642f06cc6e4adfaf47
SHA1..: 43b0307abd1b3050fd139c3aeed6213001f83a57


해당 악성코드에 대한 국내외 보안제품이 거의 진단하지 못하는 상태이므로 네이트온 메신저를 통해 친구 관계를 맺은 사이라도 신뢰할 수 없는 수상한 링크를 제공하며, 사진을 보라는 메시지를 보낼 경우에는 절대로 클릭하는 일이 없도록 하시기 바랍니다.


728x90
반응형