본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : see.scr (2010.1.3)

네이트온(NateOn) 메신저를 통해 국내 인터넷 사용자들에게 악성 링크를 포함한 대화창(쪽지)을 전달하는 행위가 올해에도 여전한 것으로 보입니다.

[악성코드 유포 경로]

h**p://www.hood****.com
 - h**p://www.ayuorn***.com/love/see.scr

이번에 확인된 악성코드 유포 경로는 작년 12월 중순경에 살펴본 최종 다운로드 경로가 동일하며 배포 파일만 보안제품에서 진단되는 것을 우회하는 방식을 취한 것으로 보입니다.

당시에 발견된 샘플의 경우 12월 초에 제작되었으며, 이번에 발견된 샘플은 see.scr 화면 보호기 파일 내부의 파일 정보가 12월 28일경에 제작된 것으로 추정됩니다.

pp.jpg

문제의 링크를 통해 다운로드되는 see.scr 파일을 실행한 경우, 사용자에게는 그림과 같은 강아지 그림만 출력되며 실제로는 추가적인 악성코드를 다운로드하여 컴퓨터를 감염시키고 있습니다.

see.scr (MD5 : 9b8ba84b8b595709c00ca8d54d8d885e)

현재 최초 설치를 유도하는 see.scr 화면 보호기 파일에 대하여 하우리 바이로봇(Hauri ViRobot) 보안제품에서 Trojan.Win32.Vilsel.147523 진단명으로 진단을 하고 있는 것을 확인할 수 있으며, 해외 보안제품 대다수에서 진단을 하고 있습니다.

love.exe (MD5 : d395953cef8c8611f7d0d659f729cac3)

naer.exe (MD5 : be04be915f482c96f11839416303d34e)

하지만 화면 보호기 파일 내부의 실제 동작 파일에 대해서는 하우리 제품에서도 진단하지 못하고 있으며, 해외 보안제품에서도 진단률이 다소 낮아지는 것을 확인할 수 있습니다. 또한 일부 보안제품은 scr 파일에 대해서는 진단하지 않으며, 내부 파일(exe)에 대해서 반응을 하는 등 다양한 변수가 있으므로 근본적으로 신뢰할 수 없는 사이트를 통해 다운로드되는 파일은 함부로 실행하지 않는 습관이 중요하겠습니다.

해당 악성코드는 [%systemroot%\system32\systen.dat] 파일이 다양한 프로세스에 추가되어 온라인 게임 계정 정보를 수집하여 해당 계정에 금전적 피해를 유발할 수 있는 것으로 알려져 있으므로 감염된 사용자는 반드시 악성코드 치료 후에는 각종 가입된 계정의 비밀번호를 반드시 수정하시기 바랍니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = C:\WINDOWS\system32\hf0008.exe
  • 아아아...;; 네이트온까지..
    요즘은 컴퓨터 쓰기가 겁나요.

    • 이런 방식은 오래되었죠.

      문제는 이런 방식이 사용자 컴퓨터에 설치된 보안제품에서 진단을 하더라도 배포를 한다는 것이 아닐까 싶습니다.

      그 와중에서도 어떤 사용자는 보안제품을 무시하고 설치를 기필코 하는 분들이 있으니깐요.

  • 오래전부터 유포되던 변종인데도 불구하고 V3와 nProtect는 끝내 패턴추가를 안하는군요.

  • see.scr에 대해서 비트디펜더와 에프시큐어 진단값이 다를길래 이상하다 했더니 비트디펜더는 scr파일 자체를 자동 진단값에서 추가했고 에프시큐어는 내부 파일값을 바로 진단한 것이었네요. scr파일이 실행 압축 형태이긴해도 실제로는 rar 압축파일이니 굳이 진단값을 추가할 필요는 없었는데, 진단값을 늘려주는 비트디펜더의 자동화 시스템이란 ㅎㅎ

    • AVG 제품의 경우에도 scr 파일은 진단하지 않았습니다~ 하지만 해당 파일을 실행하면 자동으로 압축이 풀리면서 나오는 exe 파일은 모두 Win32/Cryptor로 진단을 하더군요~

      이런 부분은 업체마다 약간 차이가 있어서 scr 파일 자체를 진단하지 않는다고 내부 파일도 진단 못한다고 말하기 어렵더군요~

  • scr파일을 네이트에서 차단을 하자니 그것도 문제가 될것 같고 중요한것은 스스로 지키는 것이 중요한것 같습니다.

  • 계속 변경해서 유포하니 1:1 패턴 매칭의 한계네요^^;;

    이걸 극복하려면 우리 연구원님들이 많이 신경써 주면 좋은데.. 지못미..

    빨리 업데이트에 들어갈 수 있도록 하겠습니다.

  • 다운을 받아서 실행까지 시켜서 저 강아지까지 확인했는데요 알약은 컴퓨터킨동시에
    켜져 있습니다. 별 탈 없을까요? 걱정 되네요...