728x90
반응형
국내 메신저 네이트온(NateOn)을 통해 여전히 악성코드가 포함된 링크를 연결하는 방식으로 유포가 이루어지고 있습니다.
현재 해당 링크를 통해 다운로드되는 see.scr 화면 보호기 파일의 경우, MS Internet Explorer에서 보안 경고를 통해 안전하지 않은 다운로드임을 표시하고 있습니다.
바이러스토탈(VirusTotal)에 해당 파일이 12월 14일 등록된 것을 고려한다면 상당히 빠르게 사용자에 의해 악성 다운로드 신고가 접수된 것으로 추정됩니다.
해당 see.scr 파일 내부에는 [love.exe / naer.exe / pp.jpg] 파일로 압축되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 외부 네트워크와 연결하여 악성코드를 다운로드하여 설치합니다.
하지만 사용자의 컴퓨터 화면에서는 그림과 같은 강아지 사진으로 위장을 하고 있으므로 악성코드 설치를 인지하기 어렵습니다.
해당 다운로드 파일은 안철수연구소(AhnLab) 보안제품 V3에서 Win-Trojan/OnlineGameHack.137517 진단명으로 진단하는 것을 확인할 수 있으며, 해당 악성코드는 온라인 게임 계정 탈취 목적으로 제작된 것을 확인할 수 있습니다.
현재 대다수 국내외 보안제품에서 진단하고 있으므로 만약 감염된 사용자나 해당 링크를 통해 접속을 하셨던 분들은 인터넷 임시 폴더를 비우시고, 보안제품을 이용하여 정밀 검사를 해 보시기 바랍니다.
[악성코드 유포 경로]
h**p://www.zip*****.com/
- h**p://www.ayuorn***.com/love/see.scr
h**p://www.zip*****.com/
- h**p://www.ayuorn***.com/love/see.scr
Internet Explorer 8 기준
현재 해당 링크를 통해 다운로드되는 see.scr 화면 보호기 파일의 경우, MS Internet Explorer에서 보안 경고를 통해 안전하지 않은 다운로드임을 표시하고 있습니다.
바이러스토탈(VirusTotal)에 해당 파일이 12월 14일 등록된 것을 고려한다면 상당히 빠르게 사용자에 의해 악성 다운로드 신고가 접수된 것으로 추정됩니다.
해당 see.scr 파일 내부에는 [love.exe / naer.exe / pp.jpg] 파일로 압축되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 외부 네트워크와 연결하여 악성코드를 다운로드하여 설치합니다.
pp.jpg
하지만 사용자의 컴퓨터 화면에서는 그림과 같은 강아지 사진으로 위장을 하고 있으므로 악성코드 설치를 인지하기 어렵습니다.
see.scr(MD5 : 5e9ee516050895571de0cdbf45a386e8)
해당 다운로드 파일은 안철수연구소(AhnLab) 보안제품 V3에서 Win-Trojan/OnlineGameHack.137517 진단명으로 진단하는 것을 확인할 수 있으며, 해당 악성코드는 온라인 게임 계정 탈취 목적으로 제작된 것을 확인할 수 있습니다.
[시작 프로그램 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- AAAA = C:\WINDOWS\system32\hf0008.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- AAAA = C:\WINDOWS\system32\hf0008.exe
현재 대다수 국내외 보안제품에서 진단하고 있으므로 만약 감염된 사용자나 해당 링크를 통해 접속을 하셨던 분들은 인터넷 임시 폴더를 비우시고, 보안제품을 이용하여 정밀 검사를 해 보시기 바랍니다.
[관련글 보기]
2008/08/31 - [벌새::Security] - 네이트온(NateOn) 메신저의 악성 URL 진단
2009/02/15 - [벌새::Analysis] - 네이트온(NateOn)을 통해 유포되는 악성코드
2009/03/02 - [벌새::Analysis] - 네이트온(NateOn) 메신저 악성코드 - smile.scr
2009/05/31 - [벌새::Analysis] - 네이트온(NateOn) 악성코드 : jpg.scr
2009/06/08 - [벌새::Security] - 네이트온(NateOn) 악성코드 개념 정리
2009/06/17 - [벌새::Computer & IT] - 네이트온(NateOn) 메신저를 이용한 모니터 절전 기능 이용하기
2009/07/25 - [벌새::Analysis] - 윈도우 취약점을 악용한 네이트온 악성코드
2009/07/26 - [벌새::Analysis] - 윈도우 취약점을 악용한 네이트온 악성코드 : 사진0631-0002.scr
2009/10/02 - [벌새::Security] - 네이트온(NateOn) 메신저 U-OTP 인증번호 도입
2009/10/07 - [벌새::Security] - 네이트온(NateOn) 메신저 도용 신고하기 기능
2008/08/31 - [벌새::Security] - 네이트온(NateOn) 메신저의 악성 URL 진단
2009/02/15 - [벌새::Analysis] - 네이트온(NateOn)을 통해 유포되는 악성코드
2009/03/02 - [벌새::Analysis] - 네이트온(NateOn) 메신저 악성코드 - smile.scr
2009/05/31 - [벌새::Analysis] - 네이트온(NateOn) 악성코드 : jpg.scr
2009/06/08 - [벌새::Security] - 네이트온(NateOn) 악성코드 개념 정리
2009/06/17 - [벌새::Computer & IT] - 네이트온(NateOn) 메신저를 이용한 모니터 절전 기능 이용하기
2009/07/25 - [벌새::Analysis] - 윈도우 취약점을 악용한 네이트온 악성코드
2009/07/26 - [벌새::Analysis] - 윈도우 취약점을 악용한 네이트온 악성코드 : 사진0631-0002.scr
2009/10/02 - [벌새::Security] - 네이트온(NateOn) 메신저 U-OTP 인증번호 도입
2009/10/07 - [벌새::Security] - 네이트온(NateOn) 메신저 도용 신고하기 기능
728x90
반응형