본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : dnosfu.rar (2010.4.26)

반응형
국내 네이트온(NateOn) 메신저를 통하여 해킹된 계정을 통한 친구 목록에 등록된 다수의 메신저 사용자에게 악성 링크가 포함된 메시지를 전달하여 dnosfu.rar 압축 파일을 다운로드시키는 악성코드를 유포하고 있으므로 주의가 요구됩니다.

[악성코드 유포 경로]

h**p://www.loo*****.com
 - h**p://www.ayuorn***.com/******/dnosfu.rar (dnosfu.exe)

해당 악성 링크를 통해 최종적으로 다운로드되는 dnosfu.rar 파일은 Internet Explorer 8에서 제공되는 SmartScreen 필터에서 안전하지 않은 다운로드로 등록된 악성 도메인으로 1차적인 차단이 이루어지고 있습니다.


다운로드된 압축 파일 내부에는 dnosfu.exe 파일(RAR SFX)이 포함되어 있으며, Windows 폴더 옵션 기본값으로 사용하시는 분들의 경우 그림과 같이 마치 폴더 형태로 보이므로 실수로 클릭을 할 위험성이 있습니다.

해당 파일을 실행할 경우에는 내부에 포함된 cunmo.jpg / laiuo.exe 2개의 파일이 자동으로 실행되도록 구성되어 있으며, 사용자에게는 cunmo.jpg 그림 파일만 화면상으로 제시되며 laiuo.exe 파일의 실행을 인지하지 못합니다.

cunmo.jpg

laiuo.exe (MD5 : 0bd98b2dd478dcdf75ac6d1f4f669b05) 파일에 대해서 Kaspersky 보안 제품에서는 Trojan-PSW.Win32.Agent.qrk (VirusTotal : 17/41) 진단명으로 진단을 하고 있으며, 안철수연구소(AhnLab) 보안 제품에서는 Trojan/Win32.Agent 진단명으로 실시간 차단이 이루어지고 있습니다.

해당 악성코드에 감염된 시스템은 SysMot.sys 파일을 드라이버로 등록하여 Windows 시작시 자동으로 실행되며, Baidog.ttf 파일을 다양한 사용자 프로세스에 등록하여 온라인 게임 넥슨(NEXON) 계정 정보 탈취, 네이트온 계정 정보 탈취 및 V3 보안 제품 무력화 기능을 포함하고 있는 것으로 보입니다.

그러므로 해당 악성코드에 감염된 사용자는 온라인 게임 계정 로그인 및 네이트온 로그인 동작을 절대로 하지 마시고 보안 제품을 통한 치료를 하시기 바랍니다.

또한 만약을 위한 가입 사이트 비밀번호 교체와 함께 해당 악성코드 링크를 전달한 네이트온 사용자에게 비밀번호 교체를 알려주시기 바랍니다.

[생성 파일 등록 정보]

C:\WINDOWS\Fonts\Baidog.ttf
C:\WINDOWS\Fonts\Lcomres.ttf
C:\WINDOWS\Fonts\Lin.log
C:\WINDOWS\system\Klpk.exe
C:\WINDOWS\system\SysMot.sys

최근의 네이트온 악성코드의 배포 파일이 rar 압축 파일을 이용하고 있는 경향이 강하므로 수상한 링크를 통해 다운로드되는 rar 파일 내부에 압축된 파일은 절대로 실행하지 않도록 하시기 바랍니다.


728x90
반응형
  • 좋은 정보 고맙습니다. ^^;;

  • 라자냐 2010.05.16 02:36 댓글주소 수정/삭제 댓글쓰기

    저는 방금 네이트온으로 lip005125218.rar 라는 파일을 받았어요
    이상해서 실행하지는 않았지만 대화를 건 지인 말투도 다르고해서 해킹당했구나 싶었답니다
    혹시 알려진 파일명인가 해서 검색해봤다가 여기까지 들어왔네요
    유익한 정보 많이 얻고갑니다 ^ ^

    • 요즘 네이트온을 통한 유포 방식이 그렇게 변경되었더군요.

      당하시는 분들이 많으므로 이상한 파일만 주고 그러는 경우에는 절대로 실행하지 않도록 주의하시기 바랍니다.

      그리고 해당 네이트온 사용자에게 전화 연락을 통해 비밀번호 교체를 하도록 하시면 더욱 좋습니다.