반응형
최근의 네이트온(NateOn) 메신저를 통한 악성코드 유포 행위는 과거의 악성 링크를 제시하여 사용자가 링크를 통한 파일 다운로드 방식에서 벗어나 직접 첨부 파일을 1대1 방식으로 전송하는 수법까지 발전하였으므로 더욱 주의가 요구됩니다. 특히 친구 관계로 연결된 사용자에게 이 같은 방식의 유포가 이루어질 경우 의심을 하지 않고 파일을 실행하는 경우가 많을 것으로 보입니다.
일부에서는 최근 네이트온 악성코드 유포시 보안 제품의 실시간 감시를 우회할 목적으로 압축 파일 형태로 배포하는 과정에서 보안 제품에서 압축 파일 내부에 존재하는 파일을 진단하는데도 이를 실행하는 어리석은 분들도 있기에 보안 제품을 통한 시스템 보호를 스스로 무너뜨리는 우를 범하는 것 같습니다.
이번에 확인된 유포 방식은 주말을 이용하여 강아지 관련 메시지와 함께 악성 링크를 제시하여 유포하는 행위로 유포 방식은 다음과 같습니다.
다운로드된 hy.rar 압축 파일을 해제하면 Windows 기본값으로 사용하시는 사용자의 경우 hy 폴더 모양 파일(좌측 그림)이 보이며, 알려진 확장자를 숨기지 않도록 설정하신 사용자의 경우에는 hy.exe 실행 파일(우측 그림)이 생성됩니다.
해당 파일은 RAR SFX 파일로 내부에는 kbs.exe (MD5 : 74260408574637d830d2015bf38b760a) 파일과 f.jpg 그림 파일이 존재하며, hy.exe 파일을 실행한 경우 사용자의 화면에서는 좌측 그림과 같은 스누피(Snoopy) 관련 그림만 제시될 뿐 실제 악성코드가 설치되는 것을 인지하지 못할 수 있습니다.
kbs.exe 파일은 FSG 2.0 패커(Packer)로 제작되어 있으며 BitDefender 보안 제품에서는 Gen:Trojan.Heur.kiadr9xG9Ehjb 진단명으로 사전 진단을 하며, avast! 보안 제품에서도 Win32:Malware-gen 진단명으로 진단이 되고 있습니다.(VirusTotal : 27/40)
해당 악성코드는 실행시 안철수연구소(AhnLab) V3 보안 제품을 사용하는 경우 기능을 무력화하여 동작하며, 각종 프로세스에 glashdde.dll 파일을 추가하여 온라인 게임 계정 정보 수집과 네이트온 계정 정보를 외부에서 수집하고 있습니다.
네이트온 악성코드 유포에서 사용하는 폴더 모양의 실행 파일 방식에 속지 않기 위해서는 반드시 폴더 옵션에서 [알려진 파일 형식의 파일 확장명 숨기기] 항목을 체크 해제를 하시고 컴퓨터를 이용하시는 것이 보안상 안전합니다.
또한 해당 악성코드에 감염된 사용자는 온라인 게임 로그인, 네이트온 계정 로그인을 절대로 하지 마시고 사용하시는 보안 업체에 문의하여 샘플 신고 및 진단 DB 업데이트를 통한 치료를 하시기 바랍니다.
더욱 중요한 부분은 해당 메신저를 통해 악성코드를 유포하는 친구에게는 별도 연락을 통해 비밀번호 교체를 요구하시기 바랍니다.
일부에서는 최근 네이트온 악성코드 유포시 보안 제품의 실시간 감시를 우회할 목적으로 압축 파일 형태로 배포하는 과정에서 보안 제품에서 압축 파일 내부에 존재하는 파일을 진단하는데도 이를 실행하는 어리석은 분들도 있기에 보안 제품을 통한 시스템 보호를 스스로 무너뜨리는 우를 범하는 것 같습니다.
이번에 확인된 유포 방식은 주말을 이용하여 강아지 관련 메시지와 함께 악성 링크를 제시하여 유포하는 행위로 유포 방식은 다음과 같습니다.
[악성코드 유포 경로]
h**p://www.kr*****.com/img/hy.asp?kk.jpg ; 네이트온 메신저 대화창 제시 링크
- h**p://www.tebu****.info/php/img/hy.rar (hy.exe) ; 파일 다운로드 링크
h**p://www.kr*****.com/img/hy.asp?kk.jpg ; 네이트온 메신저 대화창 제시 링크
- h**p://www.tebu****.info/php/img/hy.rar (hy.exe) ; 파일 다운로드 링크
f.jpg
kbs.exe 파일은 FSG 2.0 패커(Packer)로 제작되어 있으며 BitDefender 보안 제품에서는 Gen:Trojan.Heur.kiadr9xG9Ehjb 진단명으로 사전 진단을 하며, avast! 보안 제품에서도 Win32:Malware-gen 진단명으로 진단이 되고 있습니다.(VirusTotal : 27/40)
[생성 파일 등록 정보]
C:\WINDOWS\system\axeWen.exe ; 시작 프로그램 등록
C:\WINDOWS\system\glashdde.dll
C:\WINDOWS\system\Lcomres.dat (AhnLab : Win-Trojan/Onlinegamehack.4096.F)
C:\WINDOWS\system\Lin.log
C:\WINDOWS\system32\NateOnMainA.dll
C:\WINDOWS\system\axeWen.exe ; 시작 프로그램 등록
C:\WINDOWS\system\glashdde.dll
C:\WINDOWS\system\Lcomres.dat (AhnLab : Win-Trojan/Onlinegamehack.4096.F)
C:\WINDOWS\system\Lin.log
C:\WINDOWS\system32\NateOnMainA.dll
해당 악성코드는 실행시 안철수연구소(AhnLab) V3 보안 제품을 사용하는 경우 기능을 무력화하여 동작하며, 각종 프로세스에 glashdde.dll 파일을 추가하여 온라인 게임 계정 정보 수집과 네이트온 계정 정보를 외부에서 수집하고 있습니다.
네이트온 악성코드 유포에서 사용하는 폴더 모양의 실행 파일 방식에 속지 않기 위해서는 반드시 폴더 옵션에서 [알려진 파일 형식의 파일 확장명 숨기기] 항목을 체크 해제를 하시고 컴퓨터를 이용하시는 것이 보안상 안전합니다.
또한 해당 악성코드에 감염된 사용자는 온라인 게임 로그인, 네이트온 계정 로그인을 절대로 하지 마시고 사용하시는 보안 업체에 문의하여 샘플 신고 및 진단 DB 업데이트를 통한 치료를 하시기 바랍니다.
더욱 중요한 부분은 해당 메신저를 통해 악성코드를 유포하는 친구에게는 별도 연락을 통해 비밀번호 교체를 요구하시기 바랍니다.
728x90
반응형