본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : see.scr (2009.12.15)

반응형
국내 메신저 네이트온(NateOn)을 통해 여전히 악성코드가 포함된 링크를 연결하는 방식으로 유포가 이루어지고 있습니다.


[악성코드 유포 경로]

h**p://www.zip*****.com/
 - h**p://www.ayuorn***.com/love/see.scr

Internet Explorer 8 기준


현재 해당 링크를 통해 다운로드되는 see.scr 화면 보호기 파일의 경우, MS Internet Explorer에서 보안 경고를 통해 안전하지 않은 다운로드임을 표시하고 있습니다.

바이러스토탈(VirusTotal)에 해당 파일이 12월 14일 등록된 것을 고려한다면 상당히 빠르게 사용자에 의해 악성 다운로드 신고가 접수된 것으로 추정됩니다.


해당 see.scr 파일 내부에는 [love.exe / naer.exe / pp.jpg] 파일로 압축되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 외부 네트워크와 연결하여 악성코드를 다운로드하여 설치합니다.

pp.jpg


하지만 사용자의 컴퓨터 화면에서는 그림과 같은 강아지 사진으로 위장을 하고 있으므로 악성코드 설치를 인지하기 어렵습니다.

see.scr(MD5 : 5e9ee516050895571de0cdbf45a386e8)


해당 다운로드 파일은 안철수연구소(AhnLab) 보안제품 V3에서 Win-Trojan/OnlineGameHack.137517 진단명으로 진단하는 것을 확인할 수 있으며, 해당 악성코드는 온라인 게임 계정 탈취 목적으로 제작된 것을 확인할 수 있습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = C:\WINDOWS\system32\hf0008.exe


현재 대다수 국내외 보안제품에서 진단하고 있으므로 만약 감염된 사용자나 해당 링크를 통해 접속을 하셨던 분들은 인터넷 임시 폴더를 비우시고, 보안제품을 이용하여 정밀 검사를 해 보시기 바랍니다.

728x90
반응형
  • 대부분의 제품에서 진단 중이네요. 의외의 제품들이 진단하는 걸 보면 신고가 빠른 건지 해당 파일의 유포를 유심히 지켜보고 있었던건지 아리송~ ㅎ

    그나저나 ie8에서도 위험 경고를 준다는 것에는 놀랐네요. ie8에 파일 관련 진단 기능도 있었나 봅니다.

  • 김재우 2009.12.19 21:58 댓글주소 수정/삭제 댓글쓰기

    저 걸렷어요..실행햇는대 강아지사진뜨내요.. ㅡㅡ
    아 열기전에 이걸 봣어야되는데..

    정밀검사햇구요.. 혹시몰라서 regedit들가서 레지값 마우스 우클릭후 삭제햇는대요...
    아직 재부팅은 안햇는대...
    바이러스 완치된것 맞나요??

    • 제가 정리한 내용은 감염된 상태에서의 일부 레지스트리 값입니다.

      그러므로 반드시 알약, V3 Lite 등 유명 보안제품을 이용하여 시스템 정밀 검사를 추가적으로 하셔야 합니다.