반응형
국내 네이트온(NateOn) 메신저 쪽지를 통하여 불특정 다수에게 악의적 링크를 포함한 내용을 담은 쪽지를 발송하여 해당 링크를 통해 다운로드된 화면 보호기 파일(scr 파일)을 실행한 경우 시스템을 감염시키는 사례가 확인이 되었습니다.
해당 파일 다운로드 경로는 과거부터 유포 도메인으로 이용되던 것으로 꾸준히 국내 사용자를 노리고 있는 것으로 보입니다.
Internet Explorer 8을 이용하여 유포 도메인에 접근하여 see.scr 파일을 다운로드 할 경우, Microsoft SmartScreen 필터 기능을 통하여 자체적으로 해당 파일은 안전하지 않다는 경고를 출력하는 것을 확인할 수 있습니다.
해당 경고를 무시하고 다운로드하여 화면 보호기 파일을 실행한 사용자의 화면에는 그림과 같은 여성의 사진만 출력되며, 이와 동시에 해당 화면 보호기 내부에 존재하는 nove.exe(MD5 : c951633d78b8d9a073e2b2b2f2a53779) 파일이 실행되면서 시스템을 감염시키고 있습니다.
생성된 파일 중 Baidog.dat 파일은 다양한 프로세스에 추가되어 동작하며, 각종 온라인 게임 계정 정보를 비롯한 개인 정보를 수집할 것으로 추정됩니다.
기본적으로 중국에서의 메신저를 통한 악성코드 유포 행위는 친구 등록이 된 사용자의 계정을 해킹하여 이루어지는 것으로 알려져 있으므로 친구 관계일지라도 수상한 링크는 절대로 클릭하지 마시기 바라며, 특히 링크를 통해 파일이 다운로드될 경우에는 취소 버튼을 클릭하여 실행하지 않도록 주의하시기 바랍니다.
참고로 알약(AlYac) 제품에서는 Trojan.Gereric.1956416 진단명으로 진단을 하고 있는 것을 확인하였습니다.
해당 파일 다운로드 경로는 과거부터 유포 도메인으로 이용되던 것으로 꾸준히 국내 사용자를 노리고 있는 것으로 보입니다.
[악성코드 유포 경로]
h**p://www.ping****.com
- h**p://www.ayuorning.com/****/see.scr (Microsoft : VirTool:Win32/Obfuscator.GE)
h**p://www.ping****.com
- h**p://www.ayuorning.com/****/see.scr (Microsoft : VirTool:Win32/Obfuscator.GE)
Internet Explorer 8을 이용하여 유포 도메인에 접근하여 see.scr 파일을 다운로드 할 경우, Microsoft SmartScreen 필터 기능을 통하여 자체적으로 해당 파일은 안전하지 않다는 경고를 출력하는 것을 확인할 수 있습니다.
해당 경고를 무시하고 다운로드하여 화면 보호기 파일을 실행한 사용자의 화면에는 그림과 같은 여성의 사진만 출력되며, 이와 동시에 해당 화면 보호기 내부에 존재하는 nove.exe(MD5 : c951633d78b8d9a073e2b2b2f2a53779) 파일이 실행되면서 시스템을 감염시키고 있습니다.
MD5 : c951633d78b8d9a073e2b2b2f2a53779
[생성 파일 정보]
%SystemRoot%\system\Baidog.dat
%SystemRoot%\system\ExeWen.exe
%SystemRoot%\system\Lcomres.dat
%SystemRoot%\system\Lin.log
%SystemRoot%\system\Sting.log
C:\del30744.bat (숨김 속성)
%SystemRoot%\system\Baidog.dat
%SystemRoot%\system\ExeWen.exe
%SystemRoot%\system\Lcomres.dat
%SystemRoot%\system\Lin.log
%SystemRoot%\system\Sting.log
C:\del30744.bat (숨김 속성)
생성된 파일 중 Baidog.dat 파일은 다양한 프로세스에 추가되어 동작하며, 각종 온라인 게임 계정 정보를 비롯한 개인 정보를 수집할 것으로 추정됩니다.
[레지스트리 생성 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\systment
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SystemFilse
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemFilse
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\systment
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SystemFilse
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemFilse
기본적으로 중국에서의 메신저를 통한 악성코드 유포 행위는 친구 등록이 된 사용자의 계정을 해킹하여 이루어지는 것으로 알려져 있으므로 친구 관계일지라도 수상한 링크는 절대로 클릭하지 마시기 바라며, 특히 링크를 통해 파일이 다운로드될 경우에는 취소 버튼을 클릭하여 실행하지 않도록 주의하시기 바랍니다.
참고로 알약(AlYac) 제품에서는 Trojan.Gereric.1956416 진단명으로 진단을 하고 있는 것을 확인하였습니다.
728x90
반응형