본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : image.rar (2010.3.27)

반응형
국내 인터넷 사용자의 온라인 게임 계정 탈취를 목적으로 네이트온(NateOn) 메신저 쪽지를 통해 유포되는 악성코드는 국내 인터넷 사용자의 보안 제품 및 습관을 치밀하게 분석하여 배포가 이루어지고 있으며, 특히 주말을 이용한 취약 시간대에 더욱 극성을 부리는 것 같습니다.

특히 최근의 유포 파일은 보안 제품의 1차적인 진단을 우회할 목적으로 rar 압축 파일을 이용하고 있으며, 오늘 확인한 image.rar 파일 역시 동일합니다.

[악성코드 유포 경로]

h**p://www.tuto**.com/
 - h**p://www.pfifrthjd.com/*****/image.rar (image.scr)

현재 시간 악의적인 유포 링크를 통해 image.rar 파일을 Internet Explorer 8 버전을 이용하여 다운로드할 경우 SmartScreen 필터 기능을 통해 안전하지 않은 다운로드임을 경고하고 있는 것을 확인할 수 있습니다.


경고를 무시하고 다운로드하여 image.rar 압축 파일을 풀었을 경우, image.scr 화면 보호기 파일을 포함하고 있으며 사용자가 해당 파일을 실행하였을 경우 시스템 감염으로 이어지고 있습니다.


그러므로 실수로 해당 압축 파일을 풀어 화면 보호기 파일이 생성되어도 파일 실행을 하지 않으면 안전하므로, 반드시 해당 파일을 삭제하시기 바랍니다.

OFF.jpg


image.scr 화면 보호기 파일 내부에는 OFF.jpg 그림 파일과 Mirosot.exe (MD5 : 9d87e6da057327ae499643b6a57cb167) 악성코드 파일이 존재하며, 실제 실행한 경우 감염 증상은 사용자의 컴퓨터 상에 그림(OFF.jpg)과 같은 중국 얼짱 거지 사진만 출력되며, 시스템 재부팅을 통해 자동으로 악성코드가 설치되는 동작이 발생합니다.


그 과정에서 국내에서 사용자 층이 많은 보안 제품의 기능이 무력화되는 등 자신을 보호하기 위한 추가적인 동작을 통해 시스템을 장악하여 사용자가 이용하는 온라인 게임 사이트 접속시 비밀번호 정보 등을 수집하여 외부로 유출하게 됩니다.

Mirosot.exe (MD5 : 9d87e6da057327ae499643b6a57cb167)

현재 초기 악성코드를 설치하려는 Mirosot.exe 파일에 대해 진단되는 대부분의 보안 제품에서 사전 진단을 하는 수준이므로 실제 감염시에는 치료가 되지 않을 확률이 높습니다.

[생성 파일 정보]

C:\del2f13c.bat
C:\WINDOWS\system\Baidog.dat
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lin.log
C:\WINDOWS\system\Sting.log
C:\WINDOWS\system\sysnames.sys

[생성 레지스트리 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemFilse

생성된 Baidog.dat 파일은 다양한 프로세스에 추가되어 사용자 키보드 값을 가로채는 동작을 통해 정보를 수집하므로, 감염된 시스템에서는 온라인 게임 등의 로그인 사이트에서는 절대로 로그인을 하지 마시고 월요일 경에 업데이트 될 것으로 추정되는 국내 보안 제품을 통해 문제를 해결하시기 바랍니다.

마지막으로 해당 메시지를 발송한 사용자가 네이트온 친구 관계인 경우, 해당 사용자에게 연락하여 계정 비밀번호 교체 및 시스템 정밀 검사를 하여 타인에게 피해를 주지 않도록 충고를 하시기 바랍니다.

728x90
반응형