국내 네이트온(NateOn) 메신저 쪽지 등의 경로를 통해 친구 등록된 사람으로부터 특정 문구를 포함한 악의적인 링크(URL)를 통해 악성코드를 유포하는 것을 확인하였습니다.
이번 악성코드 역시 이전에 소개한 thumb_0.exe 파일의 변종 형태이므로 참고하시기 바랍니다.
해당 파일에 대하여 avast! 보안 제품에서는 Win32:PWSteal-AX (VirusTotal : 15/43) 진단명으로 진단되며, 안철수연구소(AhnLab) V3 보안 제품에서는 ASD.Prevention 진단명을 통해 사전 차단하고 있습니다.
[생성 파일 등록 / 진단 정보]
C:\WINDOWS\system32\m_user.dll :: 숨김(H) 속성
C:\WINDOWS\system32\V3lght.dll (SHA1 : 3b3de2046f2b0997d5ae046af7a059e78dbd2414)
- Microsoft : PWS:Win32/QQpass.EI.dll (VirusTotal : 3/43)
C:\WINDOWS\system32\m_user.dll :: 숨김(H) 속성
C:\WINDOWS\system32\V3lght.dll (SHA1 : 3b3de2046f2b0997d5ae046af7a059e78dbd2414)
- Microsoft : PWS:Win32/QQpass.EI.dll (VirusTotal : 3/43)
참고로 이번 V3lght.dll 파일은 Tencent에서 제작한 QQ2010(QInterLive.dll) 파일로 등록되어 있습니다.
해당 악성코드는 감염된 PC에서 네이트온 계정 탈취 및 온라인 게임 계정 수집 등 악의적인 동작이 예상되므로, 보안 제품을 통한 치료를 완료한 후에는 반드시 각종 가입된 인터넷 사이트 비밀번호를 교체해 주시기 바랍니다.
또한 자신에게 악성 쪽지를 보낸 네이트온 친구에게 연락을 하여 비밀번호 교체 및 보안 제품을 통한 시스템 정밀 검사를 하도록 안내를 해주시면 좋습니다.
이거 바이러스 저두 떠서 v3에 바이러스신고하니깐 백신 만들어주네요 ㅎㅎ
fp_ax_cab_installer.exe - 분석중
2 teacher.exe V3 : Dropper/Onlinegamehack.50688(추가 : 2010.11.15.00)
악성 분석완료
3 user32.dll 정상 분석완료
4 nateonhook40u.dll 정상 분석완료
신고하신 파일이 최신엔진으로 업데이트한 제품에서 진단 및 치료가 가능합니다.
V3(2010.11.15.00) : teacher.exe : Dropper/Onlinegamehack.50688
스마트 업데이트를 이용하셔서 최신 버전으로 엔진을 업데이트 하신 후 수동 검사를 이용한 치료를 하여 주시기 바랍니다.
좋은정보 감사드립니다 ^^
이 포스트 링크,복사해도 되나요..?
본문 내용 전체만 복사하지 않으시면 됩니다.
링크는 언제나 환영합니다.^^