본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : cartoon.rar (2010.3.21)

반응형
국내 네이트온(NateOn) 메신저 서비스를 이용하여 악성코드 유포를 위한 링크가 포함된 쪽지를 발송하여 인터넷 사용자를 감염시키는 것을 확인하였습니다.

특히 이번 악성코드는 그동안 알려진 화면 보호기(.scr) 파일 포멧이 아닌 보안 제품 우회를 목적으로 rar 압축 파일로 1차적으로 압축한 형태로 구성되어 있으므로 주의가 요구됩니다.

 
[악성코드 유포 경로]

h**p://www.***fksh.com
 - h**p://www.goeweiong.com/*****/cartoon.rar (cartoon.exe)

쪽지에서 제시하는 링크에 접속을 할 경우 그림과 같은 cartoon.rar 압축 파일(MD5 : 506625fe4847a997a88245c5fc15cbee)을 다운로드하며, Internet Explorer에서 제공하는 SmartScreen 필터에서는 해당 도메인에서 유포되는 파일이 안전하지 않다고 경고를 하여 다운로드를 차단하는 것을 확인할 수 있습니다.

이를 무시하고 다운로드를 하여 압축 파일을 해제한 경우 cartoon.exe 파일이 폴더 모양의 아이콘 형태로 생성되며 해당 파일은 RAR SFX 파일로 내부에는 eploer.exe / newgx.jpg 2개의 파일을 포함하고 있습니다.

사용자가 cartoon.exe 파일을 실행한 경우에 실질적으로 시스템 감염을 유발하는 방식으로 사용자의 화면에서는 newgx.jpg 그림 파일만을 제시하여 eploer.exe 파일(MD5 : 26fb1ea2310eb6e68037596093d441af)이 실행되는 것을 인지하지 못합니다.

newgx.jpg

해당 eplorer.exe 파일에 대하여 Microsoft 보안 제품에서는 VirTool:Win32/Obfuscator.GE (VirusTotal : 19/42) 진단명으로 진단을 하고 있으며, 일부 보안 제품의 사전 진단에도 불구하고 실제 감염된 상태에서는 정상적인 치료가 어려울 것으로 추정됩니다.

최종적으로 시스템이 감염되면 사용자가 이용하는 알약(ALYac), V3 등의 보안 제품 실시간 감시 기능이 무력화되며, 사용자 몰래 추가적인 파일을 시스템 폴더에 설치하여 각종 정보를 수집하여 외부로 유출하는 악의적인 동작을 취하고 있습니다.

그러므로 해당 악성코드에 감염된 사용자는 보안 제품을 이용하여 치료하기 전에 온라인 게임 사이트, 국내 포털 사이트 등 인터넷 로그인 활동을 절대로 하지 마시고 국내 보안 업체의 도움을 받아 치료를 하시기 바랍니다.

치료 후에는 반드시 각종 인터넷 사이트 비밀번호 교체를 추가적으로 하시는 것이 가장 안전하며, 해당 네이트온 쪽지를 발송한 친구에게 연락하여 네이트온 계정 비밀번호 수정 및 사용자 컴퓨터 점검을 하도록 충고를 하시기 바랍니다.

[생성 파일 정보]

C:\WINDOWS\system\Baidog.dat
C:\WINDOWS\system\ExeWen.exe
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lin.log
C:\WINDOWS\system\Sting.log
C:\WINDOWS\system\sysnames.sys
C:\WINDOWS\newgx.jpg

생성된 파일 중 Baidog.dat 파일은 사용자 시스템에서 동작하는 다양한 프로세스에 인젝션(Injection)하여 키보드 입력값을 모니터링 하며, sysnames.sys 드라이버 파일은 커널 모드로 동작하여 일반 사용자가 수동으로 악성코드 삭제가 어려울 것으로 생각됩니다.

현재 주말을 이용한 유포로 인하여 보안 업체의 대응이 매우 느린 것으로 보이므로, 네이트온 쪽지를 통해 수상한 링크를 보내는 경우 절대로 열어보지 않는 습관을 가지시기 바라며 설사 파일을 다운로드할 경우에는 실행을 하지 않으면 되므로 호기심에 파일 실행을 하지 않는 것이 중요합니다.
728x90
반응형
  • 지나가다 2010.03.21 21:15 댓글주소 수정/삭제 댓글쓰기

    알약이나 브삼이의 자기보호기능을 뚫고 실시간 감시 기능을 무력화 한다니 엄청 강한 바이러스 이군요.
    커널모드에서 동작한다면 은폐진단기술인 트루파인더 기능이 있는 브삼이8.0은 잡겠지만 365와 라이트는 못 잡을 듯.. ㅠ 저 같은 경우는 아예 자기보호는 실행 한체 알림 기능만 꺼놓고 사용 합니다. 대게 악성코드의 감염으로 인한 경우에 사용자에게 자기보호기능에 뭔가가 접근했으니 허용할래?라고 먼저 물어 보고 사용자가 실수로? 허용을 클릭하면 백신자체가 엉망이 되기 때문입니다. 위의 악성코드도 감염되면 먼저 브삼이에서 자기보호해제여부를 물어 보지 않나요?

  • Not A Cracker 2010.03.21 22:02 댓글주소 수정/삭제 댓글쓰기

    www.goxxxx.com

    마침 관련해서 포스팅 하려고 했는데, 딱 적어주시네요.

    저도 이 바이러스 감염보고 받고 분석하려던 차였는데.....

    바이러스가 참 따끈따끈하죠?...

    AhnLab도 그렇고 알약도 그렇고, 두개의 실시간 감시 무력화 하는 취약점이 중국과 미국에 나돌고 있습니다. 그래서 요즘 나오는 신종바이러스에는 죄다 무력화코드를 포함하고 있던데요 !!

  • 저기.. 2010.03.21 22:48 댓글주소 수정/삭제 댓글쓰기

    이거 제가 걸린거 같은데 어떻게 해야 하나요?? ㅠㅠ

    • 현재 일반 사용자가 해당 문제를 수동으로 해결하기는 어렵습니다.

      사용하시는 보안 제품이 무엇인지 모르지만, 국내 보안 제품이라면 해당 업체에 문의해서 원격 지원을 받거나 내일경에 아마 업데이트가 이루어질 것으로 보이므로 내일경에 보안 제품으로 정밀 검사를 해보시기 바랍니다.

      그 동안에는 되도록 웹사이트 로그인을 하지 마시기 바랍니다.

  • Drive 2010.03.22 02:44 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 저는 개인 일반사용자 중 한사람입니다.

    지금 저 파일을 실행하여 바이러스가 걸린것 같아 system과 system32 폴더를 찾아보니 과연 eplore.exe 파일이 존재하였습니다. 그런데 그 이외에 추가 파일들은 발견되지 않아, 먼저 eplore파일을 수동 삭제 해보려 했으나 역시 안되더군요..

    그런데 한가지 아이디어를 착안한게 인터넷 접속을 컴퓨터가 부팅되기 전부터 끊어버리고 eplore파일을 삭제하면 외부 해커로부터 자동실행이 차단되지 않을까하여 그렇게 해보았는데.. eplore.exe파일이 삭제가 되더군요.

    다시 재부팅해서 폴더를 찾아봐도 위의 파일들은 발견되지 않았습니다.

    이경우 수동 삭제가 된것인가요? (혹시 파일이 숨겨져있나 찾아보기 위해 지금 국내 백신이 아닌 Mcafee를 사용하고 있긴 합니다만.. 여러번 두 폴더를 검사도 해보고 숨김 파일표시 기능을 이용해서 확인까지 여러번 했습니다만 발견되지는 않았습니다.)

    • 안녕하세요.

      eplore.exe 파일은 다른 파일을 특정 서버에서 다운로드하여 생성하는 파일로 아마 실행하였으나 제대로 설치가 되지 않았던게 아닌가 생각됩니다.

      또는 재부팅 과정에서 실행하는 과정에서 인터넷 연결이 되지 않아서 그럴 수도 있구요.

      잘 조치를 하신 것 같습니다. 만에하나 일부 정보는 기록되었을 수도 있으므로(레지스트리 정보) 오늘 내일 정도에 국내 보안 제품으로 검사를 한 번 해보시기 바랍니다.

  • Drive 2010.03.22 22:52 댓글주소 수정/삭제 댓글쓰기

    벌새님 말씀대로 정밀검사로 컴퓨터 전체를 보안 검색을 해보았고, 혹시 몰라서 불필요한 레지스트리 정리까지 끝냈습니다.

    이제야 한시름 놓는군요...;; 아무튼 이곳에 와서 아무거나 함부로 다운 받지 말라는 교훈 하나 얻어갑니다.

    좋은 정보 감사합니다^^*

    • 오늘 오후에 국내 주요 보안 업체에서 세부적인 치료 패턴이 등록되었기에 진단에서 나오지 않는다면 아마 운좋게 감염이 되지 않은 것 같습니다.^^

  • 아 저는다른케이스인데요 2010.03.23 00:01 댓글주소 수정/삭제 댓글쓰기

    저는 압축파일은 저장은 안하고 열기만 했는데 이래도 바이러스가 걸린건가요??

    • 열기를 하면 내부에 exe 파일이 존재하며 그것을 실행해야지 감염이 됩니다.

      그런데 제일 나쁜 인터넷 습관을 가지고 계시는군요.

      파일을 다운로드할 때 그런 방식으로 접근하지 마시기 바랍니다.

  • 이건 어떻게 된거죠? 2010.03.27 22:18 댓글주소 수정/삭제 댓글쓰기

    저장을하고 파일을 열어서 네이트온이 안된다던가 브이3 기능을 무력화되는 증상이 나타났는데 그뒤로 걱정되서 당분간 컴퓨터를 사용하지 않고 인터넷 선도 뽑아놨었는데 확인하러 오늘 켜보니 이 악성코드와 관련된 모든 파일이 사라져 있네요 감염증상도 나타나지 않고요 어떻게 된 건지요?

    • 스스로 삭제된다는 내용은 들어보지 못했습니다.

      혹시 사용하는 보안 제품이 자동 치료를 하도록 설정되어서 그런 것이 아닌가 생각됩니다.

      제일 확실한 방법은 보안 제품을 이용하여 정밀 검사를 해보시기 바랍니다.