네이트온(NateOn) 메신저 악성코드 : see.scr (2010.1.3)

네이트온(NateOn) 메신저를 통해 국내 인터넷 사용자들에게 악성 링크를 포함한 대화창(쪽지)을 전달하는 행위가 올해에도 여전한 것으로 보입니다.

• 네이트온(NateOn) 메신저 악성코드 : see.scr (2009.12.15)

[악성코드 유포 경로]

h**p://www.hood****.com
 - h**p://www.ayuorn***.com/love/see.scr

이번에 확인된 악성코드 유포 경로는 작년 12월 중순경에 살펴본 최종 다운로드 경로가 동일하며 배포 파일만 보안제품에서 진단되는 것을 우회하는 방식을 취한 것으로 보입니다.

당시에 발견된 샘플의 경우 12월 초에 제작되었으며, 이번에 발견된 샘플은 see.scr 화면 보호기 파일 내부의 파일 정보가 12월 28일경에 제작된 것으로 추정됩니다.

pp.jpg

문제의 링크를 통해 다운로드되는 see.scr 파일을 실행한 경우, 사용자에게는 그림과 같은 강아지 그림만 출력되며 실제로는 추가적인 악성코드를 다운로드하여 컴퓨터를 감염시키고 있습니다.

see.scr (MD5 : 9b8ba84b8b595709c00ca8d54d8d885e)

현재 최초 설치를 유도하는 see.scr 화면 보호기 파일에 대하여 하우리 바이로봇(Hauri ViRobot) 보안제품에서 Trojan.Win32.Vilsel.147523 진단명으로 진단을 하고 있는 것을 확인할 수 있으며, 해외 보안제품 대다수에서 진단을 하고 있습니다.

love.exe (MD5 : d395953cef8c8611f7d0d659f729cac3)

naer.exe (MD5 : be04be915f482c96f11839416303d34e)

하지만 화면 보호기 파일 내부의 실제 동작 파일에 대해서는 하우리 제품에서도 진단하지 못하고 있으며, 해외 보안제품에서도 진단률이 다소 낮아지는 것을 확인할 수 있습니다. 또한 일부 보안제품은 scr 파일에 대해서는 진단하지 않으며, 내부 파일(exe)에 대해서 반응을 하는 등 다양한 변수가 있으므로 근본적으로 신뢰할 수 없는 사이트를 통해 다운로드되는 파일은 함부로 실행하지 않는 습관이 중요하겠습니다.

해당 악성코드는 [%systemroot%\system32\systen.dat] 파일이 다양한 프로세스에 추가되어 온라인 게임 계정 정보를 수집하여 해당 계정에 금전적 피해를 유발할 수 있는 것으로 알려져 있으므로 감염된 사용자는 반드시 악성코드 치료 후에는 각종 가입된 계정의 비밀번호를 반드시 수정하시기 바랍니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = C:\WINDOWS\system32\hf0008.exe