본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : Saka.scr (2010.1.24)

반응형
국내 네이트온(NateOn) 메신저를 통해 온라인 게임 계정 탈취를 목적으로 한 악성코드가 유포되는 것을 확인하였습니다.


[악성코드 유포 경로]

h**p://www.fft***s.com
 - h**p://www.confinig.com/****/Saka.scr (BitDefender : Trojan.Generic.1956416)

Saka.scr (MD5 : ad42a153ba82fbd45fffef421be5c509)


일반적으로 친구로 등록된 메신저 상대의 대화창 또는 불특정 다수의 대화창을 통해 클릭을 유도할 문구와 함께 링크를 제시하여 사용자들이 링크를 통해 접속된 사이트에서 그림과 같은 화면 보호기(scr) 파일을 실행하도록 하는 수법으로 알려져 있습니다.

KO.jpg

해당 다운로드 되는 Saka.scr 파일을 실행할 경우, 사용자 화면에서는 좌측 그림과 같은 그림 파일만이 제시되며 사용자 몰래 외부 네트워크를 통해 악성코드 파일을 다운로드하여 시스템을 감염시킵니다.

감염된 시스템 환경에서는 보안 제품 무력화, 특정 사이트 접속 불능, 온라인 게임 계정 정보 수집, 웹 사이트 계정 정보 수집 등 다양한 동작을 통하여 추가적인 피해를 유발할 수 있습니다.


해당 Saka.scr 파일의 압축 내부에서는 LUCAS.exe(Microsoft : VirTool:Win32/Obfuscator.GE) 파일과 SAKUNA.exe(Microsoft : VirTool:Win32/Obfuscator.GE) 파일이 존재하며, 해당 파일이 실행되면서 악성코드를 설치하고 있습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - AAAA = "%SystemRoot%\System32\hf0008.exe"


감염된 시스템에서는 hf0008.exe 파일을 시작 프로그램으로 등록하여 윈도우 시작시 자동 실행되며, 사용자 컴퓨터의 다양한 프로세스에 [%SystemRoot%\system32\systen.dat] 파일과 [%SystemRoot%\system32\hf0008.dll] 파일을 추가하여 정보 수집 등을 합니다.

이번에 발견된 악성코드의 경우 국내 보안 제품에서 진단되지 않는 변종이므로 감염된 컴퓨터에서는 웹 사이트 로그인을 하지 마시고, 반드시 신뢰할 수 있는 보안 제품을 이용하여 치료를 하신 후에 로그인을 하시는 것을 권장합니다.

또한 치료가 된 사용자는 추가적으로 가입된 모든 계정의 비밀번호를 교체하시는 것이 추가적인 피해를 예방할 수 있습니다.
728x90
반응형