본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : teacher.exe (2010.11.14)

반응형
국내 네이트온(NateOn) 메신저 쪽지 등의 경로를 통해 친구 등록된 사람으로부터 특정 문구를 포함한 악의적인 링크(URL)를 통해 악성코드를 유포하는 것을 확인하였습니다.

이번 악성코드 역시 이전에 소개한 thumb_0.exe 파일의 변종 형태이므로 참고하시기 바랍니다.

특히 이번에 유포되는 악성 링크를 클릭할 경우 경상남도 김해시에 위치한 특정 초등학교 홈페이지(es.kr)를 해킹하여 등록한 teacher.exe 파일을 다운로드하도록 구성되어 있다는 점이 특징입니다.


다운로드된 teacher.exe(SHA1 : dc3281a237140c1cb767e0d8b9d1ad078c211fa8) 파일은 Windows 기본값의 경우 확장자명이 보이지 않는 문제로 인해 그림 파일로 착각하여 바로 실행하도록 구성되어 있습니다.


해당 파일에 대하여 avast! 보안 제품에서는 Win32:PWSteal-AX (VirusTotal : 15/43) 진단명으로 진단되며, 안철수연구소(AhnLab) V3 보안 제품에서는 ASD.Prevention 진단명을 통해 사전 차단하고 있습니다.

[생성 파일 등록 / 진단 정보]

C:\WINDOWS\system32\m_user.dll :: 숨김(H) 속성

C:\WINDOWS\system32\V3lght.dll (SHA1 : 3b3de2046f2b0997d5ae046af7a059e78dbd2414)
 - Microsoft : PWS:Win32/QQpass.EI.dll (VirusTotal : 3/43)

시스템 폴더(%systemroot%\system32)에 생성된 V3lght.dll 파일명은 안철수연구소 V3 보안 제품 관련 파일로 위장하고 있으며, 파일 크기가 32MB(33,581,072  Bytes)로 구성되어 온라인 바이러스 검사를 우회하고 있습니다.

참고로 이번 V3lght.dll 파일은 Tencent에서 제작한 QQ2010(QInterLive.dll) 파일로 등록되어 있습니다.

이번 역시 V3lght.dll 파일은 유효한 디지털 서명이 포함되어 있지만, 신뢰할 수 없는 루트 인증서(Root Certificate)를 포함하고 있는 것을 확인할 수 있었습니다.

해당 악성코드는 감염된 PC에서 네이트온 계정 탈취 및 온라인 게임 계정 수집 등 악의적인 동작이 예상되므로, 보안 제품을 통한 치료를 완료한 후에는 반드시 각종 가입된 인터넷 사이트 비밀번호를 교체해 주시기 바랍니다.

또한 자신에게 악성 쪽지를 보낸 네이트온 친구에게 연락을 하여 비밀번호 교체 및 보안 제품을 통한 시스템 정밀 검사를 하도록 안내를 해주시면 좋습니다.
728x90
반응형