본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : ei254sew.rar (2010.6.9)

국내 네이트온(NateOn) 메신저를 통해 중국쪽에서 온라인 게임 계정 정보 탈취 및 네이트온 계정 탈취를 목적으로 ei254sew.rar 압축 파일을 이용한 악성코드를 유포하는 행위를 확인하였습니다.


[악성코드 유포 경로]

h**p://jame***.com
 - h**p://www.mirror*****.com/cisieo14zdli/ei254sew.rar (ei254sew.exe)

이번 악성코드는 5월 29일경 확인된 mabkddhs.rar 압축 파일로 구성된 것과 유사한 형태의 변종으로 추정되며, 6월 6일경 제작되어 배포가 이루어지고 있는 것으로 보입니다.

ei254sew.rar 압축 파일 내부에는 폴더 모양의 아이콘으로 위장한 ei254sew.exe 파일이 존재하며, 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Agent.197083 진단명으로 진단을 하고 있습니다.

참고로 ei254sew.exe 파일에 대하여 BitDefender 엔진에서는 Worm.Generic.234419 진단명으로 진단을 하지만, 실제 RAR SFX 압축이 해제되면 진단이 되지 않는 것으로 보입니다.

해당 ei254sew.exe 파일은 RAR SFX 구조로 내부에는 calc.exe (9956a2a862dea544e84cb60ebd44ba7f) 파일과 실행되었을 경우에 사용자 컴퓨터 화면에 보여질 kdieobbsaedf.jpg 그림 파일을 포함하고 있습니다.

kdieobbsaedf.jpg

calc.exe 파일에 대해서 AhnLab V3 보안 제품에서는 Win-Trojan/Infostealer.39424.E (VirusTotal : 20/41) 진단명으로 진단되며, 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Trojan.Win32.PSWIGames.39424.P 진단명으로 진단을 하고 있습니다.

하지만 현재 시간 기준으로 국내에서 많이 사용되는 BitDefender 보안 제품에서 진단되지 않고 있으므로 알약(AlYac), nProtect 보안 제품을 사용하시는 분들은 각별한 주의가 요구됩니다.

해당 악성코드를 사용자가 압축을 해제하여 실행한 경우 다음과 같은 파일들이 사용자 몰래 시스템에 생성되어 시스템 시작시 자동으로 실행되어 던전앤파이터(Dungeon & Fighter), 메이플스토리(MapleStory), 네이트온 메신저 등의 계정 정보를 탈취하고 있습니다.


C:\WINDOWS\del26da4.bat
C:\WINDOWS\Fonts\WinFat.ttf
C:\WINDOWS\system\SysMan.sys : 서비스 등록 자동 실행
C:\WINDOWS\system32\WinTian.dll : 다양한 프로세스 삽입

그러므로 감염된 사용자는 절대로 인터넷 상에서 특정 계정의 로그인 동작을 하지 마시고, 보안 제품을 이용하여 치료를 하신 후 가입한 사이트 비밀번호를 변경하시는 것이 올바른 행동 요령입니다.

특히 안철수연구소 V3 보안 제품과 사이트가드(SiteGuard) 제품의 동작을 방해하는 기능이 포함되어 있으므로 갑자기 보안 제품에 문제가 발생하거나 네이트온 메신저에 문제가 발생한다면 시스템 감염으로 의심을 하시고 보안 업체에 문의를 하시길 바랍니다.