본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : thumb_0.exe (2010.10.31)

여전히 네이트온(NateOn) 메신저를 이용한 친구, 가족 관계의 상대에게 악성 링크를 전송하여 시스템 감염을 통한 개인정보 유출 및 온라인 게임 계정 탈취를 목적으로 한 악성코드 유포 행위가 계속적으로 이루어지고 있습니다.

[유포 경로]

h**p://www.golden****.com
 ㄴ h**p://www.funky*******.co.kr/cyGame/images/thumb_0.exe


네이트온 쪽지를 통해 유포가 이루어지고 있는 것으로 알려진 해당 악성코드는 그림 파일 모양의 아이콘으로 위장하여, 파일 확장자명이 표기되지 않도록 기본값을 설정한 사용자의 경우 그림 파일로 오해하여 실행하는 문제가 발생할 수 있습니다.

다운로드된 thumb_0.exe (SHA1 : d934bec91f8ca39f368eeab5197c7ad4d6f761a5) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Malware/Win32.Xed (VirusTotal : 13/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\m_user.dll :: 숨김(H) 속성
C:\WINDOWS\system32\V3lght.dll (SHA1 : 3CE345186EFDAB618A3BC8463A597C20DFD561E4)

감염된 시스템에서는 기존에 알려진 시스템 폴더(%windir%\system32) 내부에 V3lght.dll 파일을 생성하여 계정 정보 탈취 등의 악의적 동작을 하는 것으로 알려져 있습니다.

이번의 V3lght.dll 파일의 특징은 파일 크기가 32MB(33,580,560 Bytes)로 생성되어 바이러스토탈(VirusTotal)과 같은 온라인 검사를 하지 못하도록 더미(Dummy) 코드를 추가한 것이 아닌가 추정됩니다.

V3lght.dll 파일 정보를 살펴보면 Macrovision Europe Ltd. 업체에서 제작한 Activation Licensing Service Installer 파일로 위장하고 있습니다.

또한 유효한 디지털 서명이 포함되어 있지만, 신뢰할 수 없는 루트 인증서(Root Certificate)를 포함하고 있다는 특징을 통해 보안 제품 진단을 우회하려는 시도가 있습니다.

네이트온 메신저를 통해 유포되는 악성 링크에서 제공하는 파일을 다운로드한 사용자는 절대로 실행하지 마시고 삭제를 하시기 바라며, 감염된 사용자는 보안 제품을 통한 치료 후 반드시 온라인 게임, 네이트 계정 등 가입된 인터넷 사이트 비밀번호를 변경하시기 바랍니다.
  • 안랩에 진단명이 참 희한하군요.ㅎ ASD에서 새로운 진단명을 추가했나봅니다.
    그나저나 네이트온 바이러스 참 오랜만에 보네요.

  • 저기 2010.10.31 20:34 댓글주소 수정/삭제 댓글쓰기

    죄송합니다, 방금 막 감염돼서 치료방법을 알아보던중 들렸는데요,
    V3로도 치료가 되지않고 파일조차 삭제가 되질 않는데 어떡해야할까요

    • 안녕하세요.

      진단이 되는데 치료가 안될 경우에는 안전모드에서 치료를 하시거나, 치료시에 모든 프로그램을 종료한 상태에서 치료를 진행하시기 바랍니다.

      웹 브라우저 열어두고 치료를 하시려고 하면 실패할 수 있습니다.

  • 저기 2010.10.31 20:50 댓글주소 수정/삭제 댓글쓰기

    정밀검사를 다시 한번 해보았는데요, 진단에 잡히지도 않는것 같습니다..
    V3lght.dll라는 파일을 찾긴 찾았는데, 이걸 삭제하려해도
    이미 사용중인 프로그램이라고 뜨네요..

    • 문제의 dll 파일을 진단하지 못하고 수동으로 제거하고 싶은데 안되시면 안전모드에서 삭제를 하시거나 GMER / Unlocker와 같은 프로그램을 이용해 보시기 바랍니다.

      http://www.gmer.net/
      http://ccollomb.free.fr/unlocker/

  • 후아 2010.11.14 18:43 댓글주소 수정/삭제 댓글쓰기

    저도 지금 실수로 걸려 버렸네요

    익스플로러 관련된건 아예 실행조차 안되는군요 .


    전 다행이 파이어 폭스도 같이 쓰고 있어서 겨우 이거 보고
    해결하고 갑니다.

    v3같은 경우도 V3LITE 인데 최신 업데이트 해도 잡지 못하는군요
    결국 gmer로 강제 삭제후 정상 사용 중입니다.

  • 후아 2010.11.14 18:43 댓글주소 수정/삭제 댓글쓰기

    근데 m_user.dll 파일은 찾을수가 없네요..

  • 후아 2010.11.14 20:27 댓글주소 수정/삭제 댓글쓰기

    숨김 파일 보기를 항상 체크 하고 사용하는데요

    찾을수가 없네요..




    현재는 이상없이 사용중입니다.

    • 해당 파일은 악성 파일이 아니므로 구지 삭제하실 이유는 없습니다.^^

      해당 파일을 찾기 위해서는 폴더 옵션에서 숨김 파일 보기 + 시스템 파일 보기도 체크를 하시고 찾아보세요.

  • 후아 2010.11.14 20:46 댓글주소 수정/삭제 댓글쓰기

    아 문제가 생겼습니다.

    V3LITE.DLL 을 삭제했더니..

    WscTsk.exe 구성 요소를 찾을 수 없음 이란 메세지가 뜨네요
    COMRes.dll 을 찾을수 없다네요

    재설치를 권장하는군요 -,.- 끄응...

  • 후아 2010.11.14 20:52 댓글주소 수정/삭제 댓글쓰기

    메세지만 여러번 뜰뿐 걍 다 닫아버리면 계속 V3 사용은 가능하네요


    -,- 이런.. 호기심으로 눌러 버린 것 때문에

    영 성가시군요..

    • 이 글에서 적혀있는 V3lght.dll 파일은 V3 관련 파일이 아닙니다.

      혹시 진짜 V3 파일을 잘못 삭제한게 아닌가 싶습니다.

      V3lght.dll 파일을 삭제했다고 V3 보안 제품을 사용하는데 문제가 생기지 않습니다.

  • 후아 2010.11.14 21:15 댓글주소 수정/삭제 댓글쓰기

    이상하네요. 디지털 서명정보가 전혀 없는 파일을 삭제 했는데......


    에구구....