본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : jpg.scr (2)

반응형
네이트온(NateOn) 메신저에 등록된 친구로부터 특정 사이트 링크를 포함한 메시지를 이용한 악성코드 유포가 확인이 되었습니다.

jpg.scr (MD5 : ac5d03a6903895ac8dbcf90b2e31b006)


[악성코드 유포 경로]

h**p://www.***ust.com
 - h**p://www.***finig.com/Download/jpg.scr (AhnLab : Dropper/Agent.138079)


다운로드된 jpg.scr 화면 보호기 파일을 사용자가 실행할 경우, 내부에 존재하는 drong.exe(AhnLab : Win-Trojan/Malware.24064.AO), nrong.exe(AhnLab : Win-Trojan/MulDrop.19456) 파일을 통해 외부로부터 추가적인 악성코드 다운로드를 통한 시스템 감염이 발생합니다.

J.jpg

사용자는 단순히 좌측 그림과 같은 여자 사진만을 확인할 수 있으며, 시스템에 설치되는 악성코드에 대해서는 쉽게 눈치챌 수 없습니다.

감염된 컴퓨터는 인터넷을 사용할 수 없도록하여 보안업체 웹 사이트 방문을 방해하며, 사용자 키보드 감시를 통해 온라인 게임 등 개인정보 수집 행위를하여 추가적인 피해가 생길 수 있습니다.

그러므로 해당 악성코드에 감염된 사용자는 신뢰할 수 있는 보안제품을 이용하여 진단 및 치료를 하시기 바라며, 추가적으로 각종 웹 사이트 비밀번호를 반드시 수정하는 것을 잊지 마시기 바랍니다.

[감염 정보]

1. 시작 프로그램 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = "%System%\hf0008.exe"

2. 다양한 프로세스에 모듈 추가

%systemroot%\system32\systen.dat
728x90
반응형