본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : teacher.exe (2010.11.14)

국내 네이트온(NateOn) 메신저 쪽지 등의 경로를 통해 친구 등록된 사람으로부터 특정 문구를 포함한 악의적인 링크(URL)를 통해 악성코드를 유포하는 것을 확인하였습니다.

이번 악성코드 역시 이전에 소개한 thumb_0.exe 파일의 변종 형태이므로 참고하시기 바랍니다.

특히 이번에 유포되는 악성 링크를 클릭할 경우 경상남도 김해시에 위치한 특정 초등학교 홈페이지(es.kr)를 해킹하여 등록한 teacher.exe 파일을 다운로드하도록 구성되어 있다는 점이 특징입니다.


다운로드된 teacher.exe(SHA1 : dc3281a237140c1cb767e0d8b9d1ad078c211fa8) 파일은 Windows 기본값의 경우 확장자명이 보이지 않는 문제로 인해 그림 파일로 착각하여 바로 실행하도록 구성되어 있습니다.


해당 파일에 대하여 avast! 보안 제품에서는 Win32:PWSteal-AX (VirusTotal : 15/43) 진단명으로 진단되며, 안철수연구소(AhnLab) V3 보안 제품에서는 ASD.Prevention 진단명을 통해 사전 차단하고 있습니다.

[생성 파일 등록 / 진단 정보]

C:\WINDOWS\system32\m_user.dll :: 숨김(H) 속성

C:\WINDOWS\system32\V3lght.dll (SHA1 : 3b3de2046f2b0997d5ae046af7a059e78dbd2414)
 - Microsoft : PWS:Win32/QQpass.EI.dll (VirusTotal : 3/43)

시스템 폴더(%systemroot%\system32)에 생성된 V3lght.dll 파일명은 안철수연구소 V3 보안 제품 관련 파일로 위장하고 있으며, 파일 크기가 32MB(33,581,072  Bytes)로 구성되어 온라인 바이러스 검사를 우회하고 있습니다.

참고로 이번 V3lght.dll 파일은 Tencent에서 제작한 QQ2010(QInterLive.dll) 파일로 등록되어 있습니다.

이번 역시 V3lght.dll 파일은 유효한 디지털 서명이 포함되어 있지만, 신뢰할 수 없는 루트 인증서(Root Certificate)를 포함하고 있는 것을 확인할 수 있었습니다.

해당 악성코드는 감염된 PC에서 네이트온 계정 탈취 및 온라인 게임 계정 수집 등 악의적인 동작이 예상되므로, 보안 제품을 통한 치료를 완료한 후에는 반드시 각종 가입된 인터넷 사이트 비밀번호를 교체해 주시기 바랍니다.

또한 자신에게 악성 쪽지를 보낸 네이트온 친구에게 연락을 하여 비밀번호 교체 및 보안 제품을 통한 시스템 정밀 검사를 하도록 안내를 해주시면 좋습니다.
  • 5369773 2010.11.14 19:48 댓글주소 수정/삭제 댓글쓰기

    이거 바이러스 저두 떠서 v3에 바이러스신고하니깐 백신 만들어주네요 ㅎㅎ
    fp_ax_cab_installer.exe - 분석중
    2 teacher.exe V3 : Dropper/Onlinegamehack.50688(추가 : 2010.11.15.00)
    악성 분석완료
    3 user32.dll 정상 분석완료
    4 nateonhook40u.dll 정상 분석완료
    신고하신 파일이 최신엔진으로 업데이트한 제품에서 진단 및 치료가 가능합니다.


    V3(2010.11.15.00) : teacher.exe : Dropper/Onlinegamehack.50688


    스마트 업데이트를 이용하셔서 최신 버전으로 엔진을 업데이트 하신 후 수동 검사를 이용한 치료를 하여 주시기 바랍니다.

  • 좋은정보 감사드립니다 ^^
    이 포스트 링크,복사해도 되나요..?