본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : see.scr (2010.3.8)

반응형
국내 네이트온(NateOn) 메신저 쪽지를 통하여 불특정 다수에게 악의적 링크를 포함한 내용을 담은 쪽지를 발송하여 해당 링크를 통해 다운로드된 화면 보호기 파일(scr 파일)을 실행한 경우 시스템을 감염시키는 사례가 확인이 되었습니다.

해당 파일 다운로드 경로는 과거부터 유포 도메인으로 이용되던 것으로 꾸준히 국내 사용자를 노리고 있는 것으로 보입니다.

[악성코드 유포 경로]

h**p://www.ping****.com
 - h**p://www.ayuorning.com/****/see.scr (Microsoft : VirTool:Win32/Obfuscator.GE)


Internet Explorer 8을 이용하여 유포 도메인에 접근하여 see.scr 파일을 다운로드 할 경우, Microsoft SmartScreen 필터 기능을 통하여 자체적으로 해당 파일은 안전하지 않다는 경고를 출력하는 것을 확인할 수 있습니다.


해당 경고를 무시하고 다운로드하여 화면 보호기 파일을 실행한 사용자의 화면에는 그림과 같은 여성의 사진만 출력되며, 이와 동시에 해당 화면 보호기 내부에 존재하는 nove.exe(MD5 : c951633d78b8d9a073e2b2b2f2a53779) 파일이 실행되면서 시스템을 감염시키고 있습니다.


MD5 : c951633d78b8d9a073e2b2b2f2a53779


[생성 파일 정보]

%SystemRoot%\system\Baidog.dat
%SystemRoot%\system\ExeWen.exe
%SystemRoot%\system\Lcomres.dat
%SystemRoot%\system\Lin.log
%SystemRoot%\system\Sting.log
C:\del30744.bat (숨김 속성)

생성된 파일 중 Baidog.dat 파일은 다양한 프로세스에 추가되어 동작하며, 각종 온라인 게임 계정 정보를 비롯한 개인 정보를 수집할 것으로 추정됩니다.

[레지스트리 생성 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\systment
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SystemFilse
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemFilse

기본적으로 중국에서의 메신저를 통한 악성코드 유포 행위는 친구 등록이 된 사용자의 계정을 해킹하여 이루어지는 것으로 알려져 있으므로 친구 관계일지라도 수상한 링크는 절대로 클릭하지 마시기 바라며, 특히 링크를 통해 파일이 다운로드될 경우에는 취소 버튼을 클릭하여 실행하지 않도록 주의하시기 바랍니다.


참고로 알약(AlYac) 제품에서는 Trojan.Gereric.1956416 진단명으로 진단을 하고 있는 것을 확인하였습니다.
728x90
반응형
  • 벌새님께서 저보다 먼저 포스팅을 하셨었네요 .... 트랙백 걸고 갑니다 . 이번 주도 행복한 한주되세요 ^ ^*

  • ㅠㅠ 2010.03.20 22:52 댓글주소 수정/삭제 댓글쓰기

    아 방금 걸렸는데 알약이 안깔리네요...ㅠㅠ 어카죠?

    • 해당 악성코드는 국내 인터넷 사용자 환경을 무척 연구했습니다.

      그러므로 알약이나 V3 같은 제품은 설치가 안될 수 있습니다.

      다른 유명 보안 제품을 이용해서 문제를 해결해 보시기 바랍니다.

  • ㅠㅠ 2010.03.21 00:52 댓글주소 수정/삭제 댓글쓰기

    알약을 다른컴퓨터로 셋업파일을 다운받아서 깔았는데요 저기위처럼 빨간색 트로이목마가 뜨네요.

    저거 지우면 된건가요? 그래도 네이트온은 안되지만...ㅠㅠ

    • 제가 여기에 작성한 내용과 실제 설치된 파일은 이름은 동일하지만 내용물은 다를 수 있습니다.

      배포자가 보안 제품에서 진단되지 않게 수시로 변종을 만들기 때문에 제가 시스템을 보지 않고서 무엇을 지우라고 말하기 힘듭니다.

      보안 제품을 통해 치료하시기 바랍니다.

      그래도 해결이 안되시면 해당 악성코드 감염 이전 시점으로 복원을 하시거나 알약 업체에 원격지원을 받아보시기 바랍니다.

      그리고 아무리 친구 관계라도 이상한 링크를 타고 들어가서 호기심에 이상한 파일 실행을 하지 마세요.

  • ㅠㅠ 2010.03.21 00:52 댓글주소 수정/삭제 댓글쓰기

    완벽하게 지운지 알수 없을까요?

    • 그리고 하나 충고해드리면, 감염된 상태에서 웹 사이트 로그인하지 마시기 바랍니다.

      비밀번호가 외부로 유출됩니다.

      그러므로 치료를 완료하면 반드시 사이트 비밀번호 교체를 하시고, 동일한 비번을 사용하는 곳도 전부 교체하세요.

      특히 온라인 게임과 네이트온 비번은 반드시 교체하시기 바랍니다.

      아이템 다 털어갑니다.

  • ㅠㅠ 2010.03.21 00:58 댓글주소 수정/삭제 댓글쓰기

    자세히 보니 Trojan.generic.1039230 이라고 되어있는데 위에 것랑 틀리지 않나요? 치료 안된건가요?ㅠㅠ아 어뜨케ㅠㅠ