울지않는벌새 : Security, Movie & Society

네이트온(NateOn) 메신저 악성코드 : dgeilic.jpg.exe (2010.7.19)

벌새::Analysis
국내 인터넷 사용자를 대상으로 네이트온(NateOn) 메신저를 통해 온라인 게임 등 정보 유출을 목적으로 한 악성 링크를 통해 dgeilic.jpg.exe 악성 파일을 다운로드하는 유포 행위를 확인하였습니다.


[악성코드 유포 경로]

h**p://www.neas***.com
 - h**p://www.stort**.com/opg****/dgeilic.jpg.exe

다운로드된 dgeilic.jpg.exe 실행 파일은 알려진 확장자를 보지 않도록 Windows 기본값으로 이용하는 사용자에게는 dgeilic.jpg 그림 파일로 보이므로 의심없이 실행하도록 위장하고 있습니다.

해당 dgeilic.jpg.exe(MD5 : f120181a352a4a950ade3f013ac481f2) 파일은 암호화 패커 Yoda's Cryptor 1.2 버전으로 실행 압축 되었으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.Infostealer (VirusTotal : 17/42) 진단명으로 진단되고 있습니다.

dgeilic.jpg.exe


dgeilic.jpg.exe 파일 속성값을 살펴보면 Apple사에서 제작한 Safari 웹 브라우저로 표시를 하고 있는 점이 특징입니다.

[생성 파일 정보]

C:\WINDOWS\system32\Mkdwk.dll
C:\WINDOWS\system32\V3lght.dll
C:\WINDOWS\system32\x.dll
C:\WINDOWS\system32\x_com.dll

[수정 파일 정보]

C:\WINDOWS\system32\comres.dll


해당 악성코드에 감염된 경우 Windows 기본 파일인 comres.dll(MD5 : 5F36F57E2A5E79E8AEBECE03B94A5E40 - Windows XP SP3 기준) 파일을 수정하여 시스템 시작시 자신이 실행되도록 로더(Loader) 역할을 하는 것으로 추정됩니다.

V3lght.dll


또한 안철수연구소 V3 보안 제품을 표적으로 한 유사한 V3lght.dll(MD5 : da4977e9b8de9dcd198604fe05900e65) 파일을 시스템 폴더에 설치하여 사용자 눈을 속이고 있습니다.

참고로 V3lght.dll 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Infostealer (VirusTotal : 13/40) 진단명으로 진단을 하고 있습니다.

전체적으로 감염된 시스템은 알약(AlYac), V3 보안 제품 등의 기능을 무력화하여 자신을 진단하지 못하게 방해하며, explorer.exe 등 다양한 프로세스에 V3lght.dll / Mkdwk.dll 모듈 삽입을 통한 온라인 게임, 특정 사이트 계정 정보 유출을 시도하고 있습니다.

일부 사용자들은 2개 이상의 보안 제품을 컴퓨터에 설치하고서도 자신이 필요한 시점에 실시간 감시를 활성화하거나 실행하는 방식으로 시스템을 보호하는 잘못된 보안 지식을 가지고 있는데, 이런 경우 감염된 상태에서 보안 제품에 제대로 실행되지 않는 현상으로 진단을 하지 못하는 일이 발생할 수 있으므로 반드시 실시간 감시를 활성화하시고 인터넷을 이용하시기 바랍니다.