본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : hy.rar (2010.5.16)

반응형
최근의 네이트온(NateOn) 메신저를 통한 악성코드 유포 행위는 과거의 악성 링크를 제시하여 사용자가 링크를 통한 파일 다운로드 방식에서 벗어나 직접 첨부 파일을 1대1 방식으로 전송하는 수법까지 발전하였으므로 더욱 주의가 요구됩니다. 특히 친구 관계로 연결된 사용자에게 이 같은 방식의 유포가 이루어질 경우 의심을 하지 않고 파일을 실행하는 경우가 많을 것으로 보입니다.

일부에서는 최근 네이트온 악성코드 유포시 보안 제품의 실시간 감시를 우회할 목적으로 압축 파일 형태로 배포하는 과정에서 보안 제품에서 압축 파일 내부에 존재하는 파일을 진단하는데도 이를 실행하는 어리석은 분들도 있기에 보안 제품을 통한 시스템 보호를 스스로 무너뜨리는 우를 범하는 것 같습니다.

이번에 확인된 유포 방식은 주말을 이용하여 강아지 관련 메시지와 함께 악성 링크를 제시하여 유포하는 행위로 유포 방식은 다음과 같습니다.


[악성코드 유포 경로]

h**p://www.kr*****.com/img/hy.asp?kk.jpg ; 네이트온 메신저 대화창 제시 링크
 - h**p://www.tebu****.info/php/img/hy.rar (hy.exe) ; 파일 다운로드 링크

다운로드된 hy.rar 압축 파일을 해제하면 Windows 기본값으로 사용하시는 사용자의 경우 hy 폴더 모양 파일(좌측 그림)이 보이며, 알려진 확장자를 숨기지 않도록 설정하신 사용자의 경우에는 hy.exe 실행 파일(우측 그림)이 생성됩니다.

f.jpg

해당 파일은 RAR SFX 파일로 내부에는 kbs.exe (MD5 : 74260408574637d830d2015bf38b760a) 파일과 f.jpg 그림 파일이 존재하며, hy.exe 파일을 실행한 경우 사용자의 화면에서는 좌측 그림과 같은 스누피(Snoopy) 관련 그림만 제시될 뿐 실제 악성코드가 설치되는 것을 인지하지 못할 수 있습니다.

kbs.exe 파일은 FSG 2.0 패커(Packer)로 제작되어 있으며 BitDefender 보안 제품에서는 Gen:Trojan.Heur.kiadr9xG9Ehjb 진단명으로 사전 진단을 하며, avast! 보안 제품에서도 Win32:Malware-gen 진단명으로 진단이 되고 있습니다.(VirusTotal : 27/40)

[생성 파일 등록 정보]

C:\WINDOWS\system\axeWen.exe ; 시작 프로그램 등록
C:\WINDOWS\system\glashdde.dll
C:\WINDOWS\system\Lcomres.dat (AhnLab : Win-Trojan/Onlinegamehack.4096.F)
C:\WINDOWS\system\Lin.log
C:\WINDOWS\system32\NateOnMainA.dll

해당 악성코드는 실행시 안철수연구소(AhnLab) V3 보안 제품을 사용하는 경우 기능을 무력화하여 동작하며, 각종 프로세스에 glashdde.dll 파일을 추가하여 온라인 게임 계정 정보 수집과 네이트온 계정 정보를 외부에서 수집하고 있습니다.


네이트온 악성코드 유포에서 사용하는 폴더 모양의 실행 파일 방식에 속지 않기 위해서는 반드시 폴더 옵션에서 [알려진 파일 형식의 파일 확장명 숨기기] 항목을 체크 해제를 하시고 컴퓨터를 이용하시는 것이 보안상 안전합니다.

또한 해당 악성코드에 감염된 사용자는 온라인 게임 로그인, 네이트온 계정 로그인을 절대로 하지 마시고 사용하시는 보안 업체에 문의하여 샘플 신고 및 진단 DB 업데이트를 통한 치료를 하시기 바랍니다.

더욱 중요한 부분은 해당 메신저를 통해 악성코드를 유포하는 친구에게는 별도 연락을 통해 비밀번호 교체를 요구하시기 바랍니다.
728x90
반응형
  • 비밀댓글입니다

  • 어엇.. 2010.05.16 12:42 댓글주소 수정/삭제 댓글쓰기

    이파일 저도 오늘왔습니다 스누피 이미지파일까지 똑같네요..

    친구가 주길래 아무생각없이 열고 실행까지 했습니다.

    그래서 v3 lite로 정밀검사까지 다하고 치료까지 했는데

    시작프로그램에 axewen 이 체크되어있네요

    아직 바이러스가 완전히 삭제되지않은건가요?

    C:\WINDOWS\system 경로에 axeWen.exe/glashdde.dll/Lcomres.dat

    Lin.log/NateOnMainA.dll 파일은 하나도없네요

    만약 아직 완전히 삭제가 안된거라면 치료방법좀 부탁드립니다 ㅠㅠ

    • 안녕하세요.

      시작 프로그램에 등록된 값은 파일은 삭제되어도 레지스트리 등록값이 존재하기 때문입니다.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      항목에 접근해서 axeWen.exe 파일 경로를 가지는 항목을 삭제하시기 바랍니다.

      나머지 보이지 않는 파일들은 숨김 속성이나 실제 생성되지 않았을 수도 있습니다.

      내일 정도면 보안 업체에서 치료까지 지원하리라 생각되므로 정밀 검사를 해보시기 바랍니다.

  • 어엇.. 2010.05.16 13:29 댓글주소 수정/삭제 댓글쓰기

    axeWen.exe를 그냥삭제하고 다시 켜보니 그대로 있네요

    근데 explorer.exe를 작업끝내기로 한다음 삭제시키니 깔끔하게 사라졌네요

    이외에도 시작프로그램에 NateOnMain이랑 몇몇개가 있었던것같은데 말끔히 사라졌고

    익스플로러도 갑자기안되다가 다시잘되네요 아마 v3 때문인듯..

    내일쯤 v3 정밀검사해서 치료다시해봐야겠네요

    친절한 댓글 감사합니다 즐거운하루되시길~^^

  • 피해자 2010.05.16 22:06 댓글주소 수정/삭제 댓글쓰기

    강아지 관련 뿐만이 아닌


    'Samsung' 핸드폰 구입을 하는데 의견을 듣고싶다


    며 알집파일을 보내는 경우도 발생했습니다.


    추가 부탁드립니다

    • 전달하는 대화는 다양한 것으로 알고 있습니다.

      삼성 핸드폰도 알고는 있는데, 샘플이 없어서..ㅠㅠ

      차후에 수집되면 게시하겠습니다. 감사합니다.^^

  • 피해자2 2010.05.17 16:14 댓글주소 수정/삭제 댓글쓰기

    국내보안업체에서 어떤방식으로 치료해주나요?
    ;;;
    글고
    GMER로 프로세스 하나하나 다 보니깐
    glashdde.dll 이거 하나도빠짐없이 다 있네여;
    ㅠㅜ

    • 보안 제품은 사람이 수동으로 할 수 없거나 매우 번거로운 작업을 기계적으로 하므로 치료가 편합니다.

      이번처럼 모든 프로세스에 자신을 추가한 경우 수동으로 해결하기는 매우 어렵습니다.

  • 피해자2 2010.05.18 18:16 댓글주소 수정/삭제 댓글쓰기

    레지스트리에서 없애도 생기는거 어떻게든 없앴는데(레지스트리에서검색해도안나옴)
    된건가요? axewen이랑 NateOnMainA이거 삭제한거같은데
    다된건가요?

    • 일단 감염된 상태에서 온라인 게임 로그인과 네이트온 로그인은 하지 마시기 바랍니다.

      그리고 사용자가 수동 치료가 힘든 경우에는 반드시 보안 제품을 통해 치료를 하시기 바랍니다.

      아마 늦어도 내일 저녁에는 국내 보안 업체에서 치료까지 지원하리라 보여집니다.

      그리고 일부 보이지 않는 파일들은 GMER과 같은 프로그램을 이용하시는게 편합니다.(시스템 숨김 속성 등으로 윈도우 탐색기에서 보이지 않을 수 있습니다.)

      제 블로그에서 GMER로 검색해 보시면 정보를 확인할 수 있습니다.

  • 2010.05.18 18:27 댓글주소 수정/삭제 댓글쓰기

    국내보안업체에서 어떻게치료해주나요?

    • 무슨 보안 제품을 이용하시는지는 모르겠지만, 현재 제가 알기로는 V3, 알약, nProtect 제품은 샘플 신고를 통해 진단 및 치료가 되는 것으로 알고 있습니다.

      해당 프로그램을 이용하여 시스템 정밀 검사를 하시기 바랍니다.

  • 도와주세요 2010.06.05 00:12 댓글주소 수정/삭제 댓글쓰기

    비슷하게 당해서
    glashdde.dll이런거때문에
    네이트온 로그인하면 경고메시지도 뜨고 그러네요
    아 정말 놀라고 당황스럽네요...ㅠㅠ
    v3 검사해도 계속 그런것 같아요...
    어떻게 해야하는지 자세한 방법 좀 알려주실 수 있으신가요...?
    제발 부탁드립니다... 어떻게 해야하나요...

    • 안녕하세요.

      감염된 상태에서 해당 악성코드를 보안 제품을 통한 치료를 하지 않고 네이트온 로그인을 하면 비밀번호가 계속 유출됩니다.

      네이트온 뿐만 아니라 온라인 게임 계정도 로그인을 절대로 하지 마시고, 반드시 치료 후에 비밀번호 변경을 모두 하시기 바랍니다.

      직접 사용자 컴퓨터를 보지 않는 이상 어떤 파일이 감염되었는지 알 수 없어서 자세한 설명은 어렵지만, 치료를 하실 때에는 안전모드에서 치료를 하시길 권장합니다.