본문 바로가기

벌새::Analysis

윈도우 취약점을 악용한 네이트온 악성코드

네이트온(NateOn)을 통해 유포되는 악성코드를 실제 경험해보지 못하였지만 가끔 샘플을 확인하는 과정에서 지금까지는 잘 느끼지 못하였던 부분을 오늘 제대로 확인을 한 것 같습니다.

[악성코드 유포 경로]

h**p://cyworId.****.com/view/68890/Secret3421_JPG
 - h**p://www.tkle*****.co.kr/board/file/1248276034.sorry?/view/68890/Secret3421_JPG
  -> (파일 다운로드) h**p://mam**-****.org/gf/download/snippet/15/1207/Secret3421.scr

초기 싸이월드(Cyworld)가 포함된 유사 도메인을 이용하여 불특정인에게 링크를 배포합니다. 일반인의 경우 눈에 익숙한 링크와 뒷자리의 그림 파일(JPG)를 통해 싸이월드 그림 링크로 착각을 일으키고 있습니다.

해당 링크에 접속을 하면 국내에 위치한 모 레포츠 관련 사이트 게시판과 연동이 되면서 화면 보호기(scr) 관련 파일을 다운로드 하도록 구성되어 있습니다.

[Secret3421.scr 진단 정보 - MD5 : ec45e24c641a1a0369836f324b84af87]

AntiVir 7.9.0.228 2009.07.24 TR/Crypt.XPACK.Gen
F-Secure 8.0.14470.0 2009.07.24 Suspicious:W32/Malware!Gemini
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.Crypt.XPACK.Gen

현재 극소수 보안제품이 사전진단을 하는 수준으로 실제 감염이 이루어진 경우 초기에 사용자는 보안제품을 통한 치료를 할 수 없는 상태입니다.

특히 해당 유포 페이지는 윈도우 보안 취약점 MS06-014 : MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562)를 이용하기 때문에 보안 패치가 이루어지지 않은 컴퓨터 환경에서는 접속과 함께 공격자의 임의의 코드 실행으로 인하여 자동으로 감염이 이루어질 수 있습니다.

해당 취약점이 2006년에 공개된 부분이므로 보안에 관심이 없고, 보안패치를 무시하거나 불법판 윈도우 사용자의 경우 상대적으로 취약할 수 있으리라 추정됩니다.

일반적으로 해당 악성코드는 사용자 컴퓨터를 감염시켜 개인 정보 탈취, 온라인 게임 관련 계정 탈취, 보안제품 무력화, 네이트온 정보 탈취 등 다양한 정보를 수집하고 있는 것으로 알려져 있습니다.

그러므로 차후 보안제품을 통해 치료한 후에도 반드시 각종 사이트 비밀번호 교체 및 윈도우 보안 업데이트를 반드시 확인하시기 바랍니다.