본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : jpg.scr (2)

네이트온(NateOn) 메신저에 등록된 친구로부터 특정 사이트 링크를 포함한 메시지를 이용한 악성코드 유포가 확인이 되었습니다.

jpg.scr (MD5 : ac5d03a6903895ac8dbcf90b2e31b006)


[악성코드 유포 경로]

h**p://www.***ust.com
 - h**p://www.***finig.com/Download/jpg.scr (AhnLab : Dropper/Agent.138079)


다운로드된 jpg.scr 화면 보호기 파일을 사용자가 실행할 경우, 내부에 존재하는 drong.exe(AhnLab : Win-Trojan/Malware.24064.AO), nrong.exe(AhnLab : Win-Trojan/MulDrop.19456) 파일을 통해 외부로부터 추가적인 악성코드 다운로드를 통한 시스템 감염이 발생합니다.

J.jpg

사용자는 단순히 좌측 그림과 같은 여자 사진만을 확인할 수 있으며, 시스템에 설치되는 악성코드에 대해서는 쉽게 눈치챌 수 없습니다.

감염된 컴퓨터는 인터넷을 사용할 수 없도록하여 보안업체 웹 사이트 방문을 방해하며, 사용자 키보드 감시를 통해 온라인 게임 등 개인정보 수집 행위를하여 추가적인 피해가 생길 수 있습니다.

그러므로 해당 악성코드에 감염된 사용자는 신뢰할 수 있는 보안제품을 이용하여 진단 및 치료를 하시기 바라며, 추가적으로 각종 웹 사이트 비밀번호를 반드시 수정하는 것을 잊지 마시기 바랍니다.

[감염 정보]

1. 시작 프로그램 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = "%System%\hf0008.exe"

2. 다양한 프로세스에 모듈 추가

%systemroot%\system32\systen.dat
  • bitdefender.com 에서 온라인 스캐너로 검사하려는데 주소창이l http://www.bitdefender.com/scanner/online/free.html 에서 http://www.gianta-scan.com/ 으로 주소창이 바뀌는데 무엇때문에 그럴까요

    • 방금 확인을 해보니 말씀하신 것처럼 변경이 되는군요.

      정보가 필요하지만, 개인적으로 추정해보면 비트 온라인 스캐너의 포퍼먼스를 위해 아시아권에서 접속시 타이완 서버로 변경하는 것이 아닌가 추정됩니다.

      말씀하신 서버 위치가 타이완으로 나오는 것으로 봐서는 그렇습니다.

      조금 더 확인을 해서 블로그에 정리해 보겠습니다.