반응형
국내 네이트온(NateOn) 메신저 서비스를 이용하여 악성코드 유포를 위한 링크가 포함된 쪽지를 발송하여 인터넷 사용자를 감염시키는 것을 확인하였습니다.
특히 이번 악성코드는 그동안 알려진 화면 보호기(.scr) 파일 포멧이 아닌 보안 제품 우회를 목적으로 rar 압축 파일로 1차적으로 압축한 형태로 구성되어 있으므로 주의가 요구됩니다.
쪽지에서 제시하는 링크에 접속을 할 경우 그림과 같은 cartoon.rar 압축 파일(MD5 : 506625fe4847a997a88245c5fc15cbee)을 다운로드하며, Internet Explorer에서 제공하는 SmartScreen 필터에서는 해당 도메인에서 유포되는 파일이 안전하지 않다고 경고를 하여 다운로드를 차단하는 것을 확인할 수 있습니다.
이를 무시하고 다운로드를 하여 압축 파일을 해제한 경우 cartoon.exe 파일이 폴더 모양의 아이콘 형태로 생성되며 해당 파일은 RAR SFX 파일로 내부에는 eploer.exe / newgx.jpg 2개의 파일을 포함하고 있습니다.
사용자가 cartoon.exe 파일을 실행한 경우에 실질적으로 시스템 감염을 유발하는 방식으로 사용자의 화면에서는 newgx.jpg 그림 파일만을 제시하여 eploer.exe 파일(MD5 : 26fb1ea2310eb6e68037596093d441af)이 실행되는 것을 인지하지 못합니다.
해당 eplorer.exe 파일에 대하여 Microsoft 보안 제품에서는 VirTool:Win32/Obfuscator.GE (VirusTotal : 19/42) 진단명으로 진단을 하고 있으며, 일부 보안 제품의 사전 진단에도 불구하고 실제 감염된 상태에서는 정상적인 치료가 어려울 것으로 추정됩니다.
최종적으로 시스템이 감염되면 사용자가 이용하는 알약(ALYac), V3 등의 보안 제품 실시간 감시 기능이 무력화되며, 사용자 몰래 추가적인 파일을 시스템 폴더에 설치하여 각종 정보를 수집하여 외부로 유출하는 악의적인 동작을 취하고 있습니다.
그러므로 해당 악성코드에 감염된 사용자는 보안 제품을 이용하여 치료하기 전에 온라인 게임 사이트, 국내 포털 사이트 등 인터넷 로그인 활동을 절대로 하지 마시고 국내 보안 업체의 도움을 받아 치료를 하시기 바랍니다.
치료 후에는 반드시 각종 인터넷 사이트 비밀번호 교체를 추가적으로 하시는 것이 가장 안전하며, 해당 네이트온 쪽지를 발송한 친구에게 연락하여 네이트온 계정 비밀번호 수정 및 사용자 컴퓨터 점검을 하도록 충고를 하시기 바랍니다.
생성된 파일 중 Baidog.dat 파일은 사용자 시스템에서 동작하는 다양한 프로세스에 인젝션(Injection)하여 키보드 입력값을 모니터링 하며, sysnames.sys 드라이버 파일은 커널 모드로 동작하여 일반 사용자가 수동으로 악성코드 삭제가 어려울 것으로 생각됩니다.
현재 주말을 이용한 유포로 인하여 보안 업체의 대응이 매우 느린 것으로 보이므로, 네이트온 쪽지를 통해 수상한 링크를 보내는 경우 절대로 열어보지 않는 습관을 가지시기 바라며 설사 파일을 다운로드할 경우에는 실행을 하지 않으면 되므로 호기심에 파일 실행을 하지 않는 것이 중요합니다.
특히 이번 악성코드는 그동안 알려진 화면 보호기(.scr) 파일 포멧이 아닌 보안 제품 우회를 목적으로 rar 압축 파일로 1차적으로 압축한 형태로 구성되어 있으므로 주의가 요구됩니다.
[악성코드 유포 경로]
h**p://www.***fksh.com
- h**p://www.goeweiong.com/*****/cartoon.rar (cartoon.exe)
h**p://www.***fksh.com
- h**p://www.goeweiong.com/*****/cartoon.rar (cartoon.exe)
쪽지에서 제시하는 링크에 접속을 할 경우 그림과 같은 cartoon.rar 압축 파일(MD5 : 506625fe4847a997a88245c5fc15cbee)을 다운로드하며, Internet Explorer에서 제공하는 SmartScreen 필터에서는 해당 도메인에서 유포되는 파일이 안전하지 않다고 경고를 하여 다운로드를 차단하는 것을 확인할 수 있습니다.
사용자가 cartoon.exe 파일을 실행한 경우에 실질적으로 시스템 감염을 유발하는 방식으로 사용자의 화면에서는 newgx.jpg 그림 파일만을 제시하여 eploer.exe 파일(MD5 : 26fb1ea2310eb6e68037596093d441af)이 실행되는 것을 인지하지 못합니다.
newgx.jpg
최종적으로 시스템이 감염되면 사용자가 이용하는 알약(ALYac), V3 등의 보안 제품 실시간 감시 기능이 무력화되며, 사용자 몰래 추가적인 파일을 시스템 폴더에 설치하여 각종 정보를 수집하여 외부로 유출하는 악의적인 동작을 취하고 있습니다.
그러므로 해당 악성코드에 감염된 사용자는 보안 제품을 이용하여 치료하기 전에 온라인 게임 사이트, 국내 포털 사이트 등 인터넷 로그인 활동을 절대로 하지 마시고 국내 보안 업체의 도움을 받아 치료를 하시기 바랍니다.
치료 후에는 반드시 각종 인터넷 사이트 비밀번호 교체를 추가적으로 하시는 것이 가장 안전하며, 해당 네이트온 쪽지를 발송한 친구에게 연락하여 네이트온 계정 비밀번호 수정 및 사용자 컴퓨터 점검을 하도록 충고를 하시기 바랍니다.
[생성 파일 정보]
C:\WINDOWS\system\Baidog.dat
C:\WINDOWS\system\ExeWen.exe
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lin.log
C:\WINDOWS\system\Sting.log
C:\WINDOWS\system\sysnames.sys
C:\WINDOWS\newgx.jpg
C:\WINDOWS\system\Baidog.dat
C:\WINDOWS\system\ExeWen.exe
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lin.log
C:\WINDOWS\system\Sting.log
C:\WINDOWS\system\sysnames.sys
C:\WINDOWS\newgx.jpg
생성된 파일 중 Baidog.dat 파일은 사용자 시스템에서 동작하는 다양한 프로세스에 인젝션(Injection)하여 키보드 입력값을 모니터링 하며, sysnames.sys 드라이버 파일은 커널 모드로 동작하여 일반 사용자가 수동으로 악성코드 삭제가 어려울 것으로 생각됩니다.
현재 주말을 이용한 유포로 인하여 보안 업체의 대응이 매우 느린 것으로 보이므로, 네이트온 쪽지를 통해 수상한 링크를 보내는 경우 절대로 열어보지 않는 습관을 가지시기 바라며 설사 파일을 다운로드할 경우에는 실행을 하지 않으면 되므로 호기심에 파일 실행을 하지 않는 것이 중요합니다.
728x90
반응형