본문 바로가기

벌새::Analysis

네이트온(NateOn) 악성코드 : jpg.scr (1)

반응형
SK Communications에서 서비스하는 메신저 서비스 네이트온(NateOn)을 통하여 중국에서의 악성코드 유포가 주기적으로 발생하고 있습니다.

현재 네이트온 대화창, 쪽지의 안내문구를 통하여 주의를 주고 있지만 호기심을 자극하는 링크를 통해 확인을 하는 좋지 않은 습관으로 많은 분들이 감염이 되는 것 같습니다.

특히 해당 악성코드는 유명 보안제품의 진단 내역을 확인하면서 배포하므로 더욱 주의가 요구됩니다.

[배포 유형]

네이트온 쪽지를 통하여 특정 문구와 함께 hxxp://www.dery***.com 링크를 클릭하도록 유도
 - (클릭시) 자동으로 hxxp://www.msneer.com/***/jpg.scr 파일로 연결이 되어 다운로드 실시


해당 다운로드 파일은 화면 보호기(scr) 형태를 가지며, 사용자가 클릭시 자동으로 악성코드가 실행되도록 구성되어 있습니다.

일반적으로 해당 파일을 클릭하였을 경우 사용자는 어떤 파일이 생성되는지 화면상으로 전혀 확인할 수 없으며 설치 여부 자체를 의심할 수 없으므로 주의가 요구됩니다.

MD5 : 26e30e15b5047d8089b4397dca9501db

초기 설치된 파일 구성을 보면 사용자 계정(C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\RarSFX0)에 임시 파일 형태로 파일을 생성하며, 윈도우 시스템 폴더 내부에 일부 파일을 구성합니다.

다소의 시간이 지나면 자동으로 임시 파일에 존재하던 789.jpg 파일이 열리며 국적이 불분명한 여성들의 사진이 생성됩니다.

최종적으로 임시 폴더의 파일은 자동으로 삭제가 되면서 윈도우 시스템 폴더 내에 악의적인 파일 다수가 생성되는 것을 확인할 수 있습니다.

[생성 파일 정보]

%System%\drivers\beep.bin
%System%\drivers\beep.sys
%System%\drivers\sysnames.sys
%System%\Advapi32.test
%System%\hf0214.dll (Kaspersky : Trojan-GameThief.Win32.WOW.ihp)
%System%\hf0214.exe (Sophos : Mal/Behav-066)
%System%\syszxKill.dll
%System%\tzxSoll.dll
%System%\zxSoll.exe (Sophos : Mal/Behav-066)
%System%\zxSoll.msc (Sophos : Mal/Behav-066)

해당 악성코드의 주요 목표는 온라인 게임(winbaram.exe / wow.exe / maplestory.exe) 관련 아이디와 비밀번호 탈취를 위해 제작된 것으로 사용자가 해당 게임을 실행하면서 입력하는 값을 중국에 위치한 서버로 전송하는 것을 추정됩니다.

네이트온 메신저는 국내 최대 규모의 회원을 보유하고 있으므로 금전 사기, 악성코드 유포의 경로로 많이 악용되고 있습니다. 그러므로 친구 관계라도 대화시 수상한 문구를 포함하여 대화를 시도할 경우에는 반드시 의심하는 습관이 필요합니다.



728x90
반응형