본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : jpg.scr (2009.12.25)

국내 네이트온(NateOn) 메신저를 통해 특정 링크를 클릭하도록 유도하여 악성코드를 설치하는 행위가 계속적으로 확인이 되고 있습니다.

이번의 악성코드는 12월 21일경에 배포되던 최종 다운로드 파일(jpg.scr) 경로와 동일한 경로를 통해 보안제품 진단을 우회하기 위한 변종으로 보입니다. 단, 대화창에 제시하는 링크 도메인 주소는 다른 것으로 변경되어 있습니다.

jpg.scr (MD5 : f703f38aadde306def89786d181d7ad6)

[악성코드 유포 경로]

h**p://www.***igugn.com
 - h**p://www.***finig.com/Download/jpg.scr (Kaspersky : Trojan.Win32.Vilsel.qaq)

현재 배포되는 jpg.scr 파일 자체는 국내 보안제품의 경우 알약(AlYac)에서 사용하는 해외 보안제품 BitDefender 엔진을 통해 Trojan.Generic.1956416 진단명으로만 진단할 뿐, 타 보안제품에서는 진단하지 못하고 있습니다.

F.jpg


해당 jpg.scr 파일을 다운로드하여 실행한 사용자는 그림과 같은 여성 사진만 출력되며 사용자 몰래 추가적인 악성코드 다운로드를 통하여 Windows 시스템 폴더 내부에 악성코드를 설치하고 있습니다.


jpg.scr 내부의 파일 Doseed.exe(AVG : Win32/Cryptor), Nster.exe(AVG : Win32/Cryptor)에 대해서는 국내 보안제품에서는 전혀 진단하지 못하므로 만약 해당 파일을 실행한 사용자는 해외 보안제품을 이용하여 시스템 정밀 검사를 하시기 바랍니다.

참고로 AVG 보안제품의 경우 jpg.scr 파일은 진단하지 못하지만, 해당 파일을 실행할 경우 내부 파일을 진단하여 악성코드가 사전에 차단합니다.

[감염 정보]

1. 시작 프로그램 등록


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = "%System%\hf0008.exe"

2. 다양한 프로세스에 모듈 추가

%systemroot%\system32\systen.dat

해당 악성코드는 감염시 사용자 컴퓨터의 키워드를 감시하여 온라인 게임 계정 정보 탈취를 통한 금전적 피해를 야기할 수 있으므로, 보안제품을 통한 치료를 하신 후에는 반드시 각종 사이트 비밀번호를 변경하시기 바랍니다.

국내 인터넷 사용자를 목표로 배포되는 악성코드의 경우 국내 사용자들이 많이 사용하는 보안제품에서 진단을 하지 않도록 수정하여 배포가 이루어지므로 발견된 샘플은 보안업체에 신고를 하여 빠른 대처가 가능하게 하시기 바랍니다.