본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : 3266.exe (2010.7.3)

반응형
네이트온(NateOn) 메신저를 통한 온라인 계정 탈취 목적의 악성코드 유포 행위는 주말에 특히 심하게 발생하는 것으로 알려져 있습니다.

특히 최근에는 기존의 사진을 보여주는 형태에서 벗어나 보안 제품의 진단을 조금이나마 우회할 목적으로 새로운 유형의 악성 파일로 변화를 가져오고 있습니다.

오늘 발견한 3266.exe 파일의 경우에는 Themida 상용 패커(Packer)로 제작하여 보안 업체의 분석 및 진단에 시간 차이를 두려는 움직임을 보이고 있습니다.

Themida 패커는 정상적인 소프트웨어를 외부에서 크랙(Crack), 리버스 엔지니어링(Reverse Engineering)으로부터 보호할 목적으로 제작된 정상적인 유료 소프트웨어를 의미합니다.

[악성코드 유포 경로]

h**p://www.long****.com
 - h**p://www.stort**.com/3266.exe

악성 링크(URL)를 통해 접근할 경우 3266.exe (MD5 : ceda9d0061d25db2c8e9b6ef1569e1f7) 파일을 다운로드하며, 현재 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.Onlinegamehack (VirusTotal : 17/40) 진단명으로 차단을 하고 있습니다.

해당 파일은 Themida 패커로 제작된 것을 확인할 수 있으며, 사용자가 실행을 할 경우 특정 외부 서버로부터 온라인 게임 계정을 탈취할 목적의 악성 파일을 추가로 다운로드하도록 구성되어 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\Fonts\WinFat.ttf : AVKiller 기능
C:\WINDOWS\system\SysMan.sys : 드라이버 등록
C:\WINDOWS\system32\WinTian.dll : 타 프로세스 삽입

WinFat.ttf 파일은 국내 보안 제품을 무력화하여 악성 파일의 진단을 방해하며, WinTian.dll 파일은 explorer.exe 프로세스 등 다양한 프로세스에 삽입하여 온라인 게임 계정 등을 외부로 유출시키고 있습니다.

그러므로 시스템 감염이 예상되는 분들은 치료가 완료될 때까지 절대로 온라인 게임 로그인 및 네이트온 메신저 로그인을 실행하지 마시고, 보안 제품을 통한 검사 및 치료를 완료한 후 가입된 사이트의 비밀번호를 변경하시기를 권장합니다.
728x90
반응형