네이트온(NateOn) 메신저 악성코드 : dnosfu.rar (2010.4.26)

국내 네이트온(NateOn) 메신저를 통하여 해킹된 계정을 통한 친구 목록에 등록된 다수의 메신저 사용자에게 악성 링크가 포함된 메시지를 전달하여 dnosfu.rar 압축 파일을 다운로드시키는 악성코드를 유포하고 있으므로 주의가 요구됩니다.

[악성코드 유포 경로]

h**p://www.loo*****.com
 - h**p://www.ayuorn***.com/******/dnosfu.rar (dnosfu.exe)

해당 악성 링크를 통해 최종적으로 다운로드되는 dnosfu.rar 파일은 Internet Explorer 8에서 제공되는 SmartScreen 필터에서 안전하지 않은 다운로드로 등록된 악성 도메인으로 1차적인 차단이 이루어지고 있습니다.

다운로드된 압축 파일 내부에는 dnosfu.exe 파일(RAR SFX)이 포함되어 있으며, Windows 폴더 옵션 기본값으로 사용하시는 분들의 경우 그림과 같이 마치 폴더 형태로 보이므로 실수로 클릭을 할 위험성이 있습니다.

해당 파일을 실행할 경우에는 내부에 포함된 cunmo.jpg / laiuo.exe 2개의 파일이 자동으로 실행되도록 구성되어 있으며, 사용자에게는 cunmo.jpg 그림 파일만 화면상으로 제시되며 laiuo.exe 파일의 실행을 인지하지 못합니다.

cunmo.jpg

laiuo.exe (MD5 : 0bd98b2dd478dcdf75ac6d1f4f669b05) 파일에 대해서 Kaspersky 보안 제품에서는 Trojan-PSW.Win32.Agent.qrk (VirusTotal : 17/41) 진단명으로 진단을 하고 있으며, 안철수연구소(AhnLab) 보안 제품에서는 Trojan/Win32.Agent 진단명으로 실시간 차단이 이루어지고 있습니다.

해당 악성코드에 감염된 시스템은 SysMot.sys 파일을 드라이버로 등록하여 Windows 시작시 자동으로 실행되며, Baidog.ttf 파일을 다양한 사용자 프로세스에 등록하여 온라인 게임 넥슨(NEXON) 계정 정보 탈취, 네이트온 계정 정보 탈취 및 V3 보안 제품 무력화 기능을 포함하고 있는 것으로 보입니다.

그러므로 해당 악성코드에 감염된 사용자는 온라인 게임 계정 로그인 및 네이트온 로그인 동작을 절대로 하지 마시고 보안 제품을 통한 치료를 하시기 바랍니다.

또한 만약을 위한 가입 사이트 비밀번호 교체와 함께 해당 악성코드 링크를 전달한 네이트온 사용자에게 비밀번호 교체를 알려주시기 바랍니다.

[생성 파일 등록 정보]

C:\WINDOWS\Fonts\Baidog.ttf
C:\WINDOWS\Fonts\Lcomres.ttf
C:\WINDOWS\Fonts\Lin.log
C:\WINDOWS\system\Klpk.exe
C:\WINDOWS\system\SysMot.sys

최근의 네이트온 악성코드의 배포 파일이 rar 압축 파일을 이용하고 있는 경향이 강하므로 수상한 링크를 통해 다운로드되는 rar 파일 내부에 압축된 파일은 절대로 실행하지 않도록 하시기 바랍니다.