본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : wifhg .rar (2010.7.1)

반응형
최근에 그 동안 네이트온(NateOn) 메신저를 통해 유포되던 배포 파일 형식에서 벗어나 새로운 형태로 배포 파일을 구성한 악성코드가 발견이 되었습니다.


[악성코드 유포 경로]

h**p://www.zail***.com
 - h**p://www.stort**.com/sjdouio/wifhg%20.rar (암호   123.exe)

탈취된 네이트온 계정을 이용하여 악성 링크(URL)를 제시하여 사용자가 해당 링크에 접근할 경우 wifhg .rar 압축 파일을 다운로드하도록 구성되어 있습니다.

여기까지는 기존의 방식과 동일하지만, 해당 압축 파일을 사용자가 압축 해제할 경우 다음과 같은 화면을 보실 수 있습니다.

 
즉 다운로드된 wifhg .rar 파일에 압축 암호로 보호를 하여, 1차적으로 사용자가 해당 압축 파일 자체를 보안 제품을 통해 수동 검사를 시도할 경우 암호로 인하여 내부 파일을 검사하지 못하게 방해를 하고 있습니다.(실제 배포자가 대화창을 통해 압축 암호를 알려주는지는 확인되지 않았습니다.)

하지만 해당 압축 파일 내부에 존재하는 [암호   123.exe] (MD5 : 203cb2f6aec61997fc910cf012f622f3) 파일을 통해 압축을 해제할 경우 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Suspicious (VirusTotal : 22/41) 진단명으로 사전 차단을 하고 있습니다.

해당 exe 파일은 기존의 RAR SFX 압축 파일이 아닌 UPX 실행 파일로 구성되어 있으며, 지금까지 알려진 해당 파일을 실행할 경우 사용자에게 제시되는 그림 파일이 제외되어 있는 것을 확인할 수 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\del26da4.bat
C:\WINDOWS\Fonts\WinFat.ttf
C:\WINDOWS\system\SysMan.sys : 서비스 등록
C:\WINDOWS\system32\WinTian.dll : 타 프로세스 삽입

사용자가 해당 악성코드에 감염된 경우 기존에 알려진 형태처럼 SysMan.sys 드라이버 파일을 서비스로 등록하여 자동 실행되며, WinTian.dll 파일을 다양한 프로세스에 삽입하여 온라인 게임 계정 탈취 등의 악의적인 동작을 할 것으로 보입니다.

이번 경우와 같이 압축 암호로 보호된 경우인데도 압축을 해제하여 실행하는 어리석은 행동을 하지 않도록 주의하시기 바라며, 압축 파일 내부에 존재하는 파일이 한글명으로 구성된 점 등을 통해 더욱 지능적으로 사용자 시스템을 감염시키려는 치밀함을 확인할 수 있습니다.
728x90
반응형
  • 으악.. 2010.07.01 03:05 댓글주소 수정/삭제 댓글쓰기

    방금전에 당했습니다...
    이제 어떡해야하는건지...암호는 적힌대로 123이였구요...

    • 안녕하세요.

      감염된 상태에서는 절대로 네이트온 로그인, 온라인 게임 로그인 등을 하지 마시고 오늘 중으로 업데이트되는 국내 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바랍니다.

      치료 후에는 반드시 각종 비밀번호 변경을 하시는 것이 안전합니다.

  • 메신저에 접속을 잘 안하는게 오히려 더 속편할지도 ~_~;;

  • 헐... 2010.08.30 02:19 댓글주소 수정/삭제 댓글쓰기

    어뜩해요......ㅠㅠ
    개사진이래서 궁금해서 들어갔는데
    컴막 글써지는 거 이상해지고
    지금 막 네톤끄고 다껐거든요..
    근데 그담 어떻게해요 ㅠㅠ
    지금 V3 Lite? 그걸로 검사중이거든요
    그 정밀검사 하고있는데 아무것도 안떠요
    아 저 진짜 어떻게요
    이거 가족 다쓰는 컴퓨턴데 ㅠㅠ

    • 안녕하세요.

      대부분의 네이트온 악성코드는 국내 보안제품에서 진단되리라 생각됩니다.

      V3 최신 업데이트가 이루어진 상태인지 확인하시기 바라며, 만약 진단되지 않을 경우에는 안철수연구소에 문의를 하시기 바랍니다.

      또한 치료하기 전까지는 절대로 온라인 게임, 네이트온 로그인을 하시면 안됩니다.

      비밀번호가 외부로 유출됩니다.

      치료 후에는 추가적으로 각종 사이트 비밀번호를 전부 교체하시는 것이 안전하며, 동일한 비밀번호를 사용하지 마세요.