h**p://cyworld.com.****.com/image/77884/사진0631-0002,jpg
- h**p://freedns.******.org/blank.html
- h**p://www.tkle*****.co.kr/board/file/1248581180.c1daisuchgdiuanh98c12nu983n981?/image/77884/%BB%E7%C1%F80631-0002,jpg
-> (파일 다운로드) h**p://mam**-****.org/gf/download/snippet/23/1214/%EC%82%AC%EC%A7%840631-0002.scr
토요일에 유포하던 링크를 약간 수정을 하였으며, 최종적으로 다운로드되는 파일명이 한글명을 가지고 있으므로 매우 국내에 최적화된 악성코드입니다.
AntiVir 7.9.0.228 2009.07.24 TR/Crypt.XPACK.Gen
F-Secure 8.0.14470.0 2009.07.25 Suspicious:W32/Malware!Gemini
McAfee-GW-Edition 6.8.5 2009.07.26 Trojan.Crypt.XPACK.Gen
Sophos 4.44.0 2009.07.26 Sus/UnkPacker
이번 역시 패커(Packer) 진단을 제외하고는 보안제품에서 진단이 되지 않고 있는 상태로 감염시 일정 시간동안 개인정보가 다수 유출될 위험이 있습니다.
- <Microsoft> MS06-014 : MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562)
- <Microsoft> MS09-002 : Internet Explorer 누적 보안 업데이트 (961260)
감염 방식은 윈도우 보안 취약점 2건에 대하여 어느 한쪽의 보안 패치가 이루어지지 않은 상태에서는 감염이 이루어질 수 있습니다.
물론 모든 패치가 이루어진 상태에서도 제공되는 화면 보호기(scr 파일) 파일을 다운로드하여 실행을 할 경우에는 감염이 이루어집니다. 그러므로 메신저 상에서 친구로 등록된 경우에도 신뢰할 수 없는 링크를 제시하며 평소와 다른 모습을 보일 경우에는 절대로 링크에 접근하지 말아야 합니다.
이미 감염된 경우에는 조만간 제공되는 보안제품의 진단 및 치료 업데이트를 통해 치료를 하시기 바라며, 반드시 치료 후에는 사용하시는 네이트온 비밀번호를 교체하시기 바랍니다.
또한 네이트온 비밀번호와 동일하게 구성된 타 웹 사이트가 존재하다면 해당 사이트 비밀번호도 모두 교체하시는 것이 만약을 위해서 가장 안전합니다.
이런 방식으로 감염된 컴퓨터는 사용자 몰래 네이트온이 로그인되어 친구로 등록된 사용자에게 악성코드를 뿌리거나 돈을 요구하는 행위가 발생할 수 있으므로 이런 쪽지를 보내는 친구가 있다면 개인적인 연락을 하여 컴퓨터에 감염된 악성코드 치료 및 비밀번호 교체를 강력히 알려주시기 바랍니다.
일부 유명 보안제품만을 믿고 인터넷을 이용하는 분들이 있을 수 있는데 공격자는 교묘하다는 사실 잊지 마시기 바랍니다.
2008/08/31 - [벌새::Security] - 네이트온(NateOn) 메신저의 악성 URL 진단
2009/02/15 - [벌새::Analysis] - 네이트온(NateOn)을 통해 유포되는 악성코드
2009/03/02 - [벌새::Analysis] - 네이트온(NateOn) 메신저 악성코드 - smile.scr
2009/05/31 - [벌새::Analysis] - 네이트온(NateOn) 악성코드 : jpg.scr
2009/06/08 - [벌새::Security] - 네이트온(NateOn) 악성코드 개념 정리