네이트온(NateOn) 메신저 악성코드 : vfkdls.exe (2010.8.17)

네이트온(NateOn) 메신저를 통해 유포되는 것으로 알려진 온라인 게임 계정 정보 수집을 목적으로 한 vfkdls.exe 악성 파일이 최근 꾸준히 유포되고 있는 것을 확인하였습니다.

[악성코드 유포 경로]

h**p://www.tvnx****.com
 ㄴ h**p://www.mirror*****.com/14sjdfpg/vfkdls.exe

네이트온 메신저를 이용한 대화창, 쪽지 등을 통해 악의적인 링크를 통해 사이트 접속을 유도하여 최종적으로 다운로드되는 vfkdls.exe(MD5 : 7a45c1b1374b00c6db6eadd77a05b207) 파일은 그림 파일 아이콘으로 위장하여 사용자 눈을 속이고 있습니다.

해당 파일에 대해서는 현재 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Malware.97280.HJ (VirusTotal : 19/ 41) 진단명으로 진단이 이루어지고 있으므로 참고하시기 바랍니다.

• 네이트온(NateOn) 메신저 악성코드 : dgeilic.jpg.exe (2010.7.19)

해당 파일을 실행할 경우 7월경에 확인된 네이트온 악성코드와 유사하게 V3 보안 제품에서 설치한 파일로 위장한 V3lght.dll 파일을 생성하는 동작을 통해 온라인 게임 비밀번호 등의 개인정보를 외부로 유출시키고 있습니다.

[생성 파일 정보]

C:\WINDOWS\system32\m_user.dll : 숨김(H), 시스템(S)

C:\WINDOWS\system32\V3lght.dll (MD5 : 515740033c4597e0748dfc14c840f2f8)
 - AhnLab V3 : Win-Trojan/Infostealer.50176 (VirusTotal : 10 /42)

V3lght.dll

이번에 생성하는 V3lght.dll 파일은 Microsoft Register Server 관련 파일로 위장을 하고 있으며, 각종 프로세스에 추가되어 동작하도록 구성되어 있습니다.

일부 감염된 사용자의 경우 V3 보안 제품으로 검사시 진단되지 않는 문제가 있다고 알려진 부분은 최신 업데이트를 방해하는 것으로 추정되므로, 수동 업데이트를 통해 정밀 검사를 통한 진단 및 치료를 하시기 바랍니다.

또한 감염자는 치료 후 반드시 네이트온 계정과 온라인 게임 계정 비밀번호 교체를 추가적으로 하시는 것이 추가적인 피해를 예방하는 방법이므로 단순히 악성코드 치료만 하는 일이 없도록 하시기 바랍니다.