본문 바로가기

벌새::Analysis

보안 취약점을 이용한 게시판 유도형 네이트온(NateOn) 메신저 악성코드 (2011.1.17)

2010년 12월 전후로 그동안 네이트온(NateOn) 메신저의 악성 파일 유포 방식이 직접적인 파일 다운로드 방식에서 특정 인터넷 게시판으로 접속을 유도하여 웹 브라우저 보안 취약점을 이용한 자동 감염을 유발하는 방식으로 유포하기 시작하였습니다.

주말을 맞아 최근 유포된 사례를 통해 대략적인 감염 방식과 대응 방법에 대하여 알아보도록 하겠습니다.

[악성코드 유포 경로]

h**p://www.green****.org/zboard/view.php?id=notice&no=71
 ㄴ h**p://si**.net/zb/****/poempds/index.html
   ㄴ h**p://si**.net/zb/****/poempds/main.html
     ㄴ h**p://si**.net/zb/****/poempds/kr1.html
       ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
     ㄴ h**p://si**.net/zb/****/poempds/kr2.html
       ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
   ㄴ h**p://si**.net/zb/****/poempds/in.js
     ㄴ h**p://si**.net/zb/****/poempds/ie.htm
     ㄴ h**p://si**.net/zb/****/poempds/ff10.htm
   ㄴ h**p://www.bannam****.org/bbs/****/gallery/ajax.js
     ㄴ h**p://hm.baidu.com/h.js?e3feb2116145e7efaa5da1104800440b
 ㄴ h**p://www.**521.com/test.htm 

먼저, 공격자는 해킹된 특정 네이트온 메신저에 등록된 친구들에게 국내 특정 인터넷 사이트 게시판 URL가 포함된 쪽지를 발송하고, 이를 클릭한 사용자 중 마이크로소프트(Microsoft)사에서 제공하는 최신 보안 패치가 적용되지 않은 경우 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않는 사용자의 경우 자동으로 감염되도록 구성되어 있습니다.

해당 사이트 게시판은 구형 제로보드로 최근 공개된 제로보드 취약점에 노출되어 있는 것으로 추정됩니다.

링크로 접속되는 사이트 게시판에서는 특정 코드가 삽입되어 index.html 악성 파일로 연결을 시도하고 있습니다.

main.html

index.html 소스에 포함된 iframe으로 형태로 추가된 main.html 소스에서는 특정 취약점을 악용하는 kr1.html / kr2.html 파일을 불러와 해당 게시판에 접속한 사용자 중 보안 패치가 이루어지지 않은 사용자의 PC를 감염시키도록 되어 있습니다.

참고로 k1.html 스크립트는 avast! 보안 제품에서 VBS:Obfuscated-gen (VirusTotal : 5/43) 진단명으로 진단되고 있으며, kr2.html / ie.htm / ff10.htm 스크립트는 해당 게시판에 수많은 인터넷 이용자가 접속하여 다운로드 되는 과정에서 트래픽 초과로 감염으로 연결되지 않는 상태입니다.

하지만 이런 트래픽 초과는 특정 시간이 지나면 다시 활성화되므로 접속 시간대에 따라 달라질 수 있습니다.

이렇게 특정 취약점을 이용한 kr1.html / kr2.html 스크립트는 보안 취약점이 존재하는 사용자의 경우 자동으로 snows.jpg (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b) 파일을 다운로드하여 악성 파일을 설치합니다.

snows.jpg

참고로 snows.jpg 파일은 UPX 실행 압축된 PE 파일로 Kaspersky 보안 제품에서 Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 21/42) 진단명으로 진단되고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system\Lcomres.dat :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\Lins.log :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winpingying.ime :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winweng.exe :: 숨김(H), 시스템(S) 속성 / 시작 프로그램 등록 파일

[생성 파일 진단 정보]

C:\WINDOWS\system\Lins.log (SHA1 : fb8c2f8d2fb36cb972123322531fa916f172d754)
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 1/43)


C:\WINDOWS\system\winpingying.ime (SHA1 : ae4a74e3343bca12c5867e5e7843edbbdc71b5cf)
 - avast! : Win32:Agent-OBK (VirusTotal : 8/43)

C:\WINDOWS\system\winweng.exe (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b)
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 21/42)


생성된 파일의 속성은 모두 숨김(H), 시스템(S) 속성으로 인하여 윈도우 탐색기의 기본값으로는 보이지 않으며, 숨김 폴더(파일)을 보이도록 폴더 옵션을 변경하여도 보이지 않습니다.

참고로 해당 생성 파일을 윈도우 탐색기로 보기 위해서는 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목의 체크 해제, [숨김 파일 및 폴더 표시] 선택을 통해 파일을 확인하실 수 있습니다.

winweng.exe

생성된 winweng.exe 파일은 snows.jpg 파일의 자가 복제 파일로 최초 악성 파일 생성시 AhnLab V3, 알약(AlYac), Kaspersky, 바이러스 체이서(Virus Chaser) 등의 보안 제품 무력화 기능이 포함된 AVKiller 기능을 포함하고 있습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - (기본값) = C:\WINDOWS\system\winweng.exe

또한 Windows 시작시마다 winweng.exe 파일을 자동 실행하여 보안 제품이 실행되지 않도록 하며, 삭제된 악성 파일을 다시 설치하는 동작이 이루어집니다.

해당 악성코드는 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winpingying.ime 파일을 추가하여 온라인 게임 계정 정보 탈취 등의 악의적 동작이 이루어지므로, 감염된 사용자는 반드시 치료 후 계정 비밀번호를 변경하시는 것이 중요합니다.

해당 악성코드의 유포 방식의 핵심은 공개된 보안 패치를 하지 않고 인터넷을 이용하는 사용자에게 금전적 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 자신의 PC에서 사용하는 소프트웨어를 최신 버전으로 꾸준하게 유지 관리하는 습관을 가지시기 바랍니다.
  • 비밀댓글입니다

  • 2주정도 전에도 트위터랑 페이스북 사칭하던 스팸메일에 들어있는 악성코드 증상과 명칭등의 시범을 보인답시고 눌러놓고서 제대로 도대체 어떤 악성코드였는지 밝히기전에 백신들이 무력화되어서 그냥 한번 갈아 엎었는데...

    이번에는 크롬이 계속 막았는데도 일일히 그 경고문들을 거부하면서 들어가서 캡쳐하고 휘젓고 다녔는데도 다행히 침투는 하지 않은것같습니다..
    (트랙백 걸고 가요^^)

  • ㅠㅠ 2011.01.24 15:44 댓글주소 수정/삭제 댓글쓰기

    안녕하세요;;

    아 저렇게 당했는데요 네이트온 쪽지해킹..

    C:\WINDOWS\system\Lcomres.dat
    C:\WINDOWS\system\Lins.log
    C:\WINDOWS\system\winpingying.ime
    C:\WINDOWS\system\winweng.exe

    이파일들을 지우려고 찾아봤는데

    그 폴더옵션에서 체크랑 체크해제 하라시는거 다해봤는데도

    저파일들은 없네요..

    알약이나 V3로도 안나오고...

    그럼 어떻게해야하나요 ㅠ

    • 먼저, 보안 패치만 하면 백신에서 진단하든 안하든 해당 링크를 클릭해도 감염이 되지 않습니다.

      제발 보안 패치를 모두 설치하시고 인터넷을 이용하는 습관을 가지시기 바랍니다.

      보안 제품에서 진단하지 않거나 파일이 없다면 실제 감염이 되지 않았을 수 있습니다.

      이미 사용자 PC가 패치가 된 상태라서 해당 사이트 들어가도 감염이 되지 않았으리라 보여집니다.^^

  • dkxnddk 2011.02.01 00:32 댓글주소 수정/삭제 댓글쓰기

    저가 winweng 이 다운되서 찾아왔거든요 ㅜㅡ

    그게 어떻게 지우는지 잘 모르겟어요 ㅜㅡ 알약은 바로 꺼지고여 키면

    네이버 백신도 해봣는데 키면은 컴퓨터 멈처숴 방법을 모르겠어요..

    도움의 글을 좀 주신다면 고맙겠습니다 ㅜㅡ

    • 안녕하세요.

      일단 해당 악성코드에 감염되면 국내 보안제품의 실행을 방해해서 치료할 수 없게 만들고 있습니다.

      그러므로 사용자가 수동으로 악성 파일을 찾아서 삭제를 한 후에 보안 제품을 실행하여 정밀 검사를 하는 것이 좋습니다.

      아니면 해당 보안 제품(Avira AntiVir / Avast / AVG 등)을 이용하여 검사를 해보시길 바랍니다.

      제가 여기서 파일 삭제법을 소개하기에는 여건이 안되고 변종 등으로 파일 위치 등이 다를 수도 있기에 힘들 것 같습니다.

  • dkxnddk 2011.02.01 00:57 댓글주소 수정/삭제 댓글쓰기

    여기서 나온 법으로 파일 찾고 삭제 했는데;; 그럼 완료 된것일까요??

    좋은글 올려주셔서 감사합니다 ㅜㅡ 어느정도 안심은 되네요 일단;;;

    진짜 정말 감사합니다

    • 게시글에 나와있는 파일이 실제 사용자 PC에 존재하다면 삭제를 하신 후, 재부팅하여 기존에 사용하던 국내 보안제품이 정상적으로 동작하는지 확인해 보시기 바랍니다.

      그리고 반드시 보안 제품을 이용하여 최신 업데이트를 한 후 정밀 검사를 하시기 바랍니다.

      또한 사용자가 가입한 사이트(특히 온라인 게임)의 비밀번호를 교체하시기 바랍니다.

  • atomos 2011.02.01 18:41 댓글주소 수정/삭제 댓글쓰기

    글 정말 잘 읽었습니다. 진심으로 감사드립니다.
    저는 몇일 전에 네이트온 쪽지 링크를 무심코 눌렀다가
    페이지를 보니 광고는 아닌 것 같고, Active? 인지 뭔가 다운받으려는
    창이 내려오길래 무시하고 껐습니다. 그런데 아무리 생각해도 찜찜해서
    인터넷에 쳐봤는데
    혹시 페이지를 보는 것 만으로도 아이디나 주민번호 같은 것들이 유출되나요?
    windows 폴더에 숨기기까지 다 해제하면서 system 폴더 봤는데
    다행히 위 글에 있는 파일들은 없더라구요.
    그리고 제가 너무 불안해서 avast랑 알약, v3까지 전부 다 검사했는데
    다행히 이상이 없다고 나오는데 괜찮은 걸까요?
    저는 평소에 이런 광고글이라던지 스팸 의심은 절대 열어보지 않는 사람인데
    네이트온 지인에게 쪽지가 오니 정말 깜빡 속게 되더군요.
    답글 부탁드려도 될지요.

    • 안녕하세요.

      제가 사용자 PC 환경을 알 수 없어 확답은 어렵지만 이런 링크를 통해 접속할 경우 사용자가 매월 제공되는 윈도우 보안 패치를 꾸준히 잘 하셨다면 보안 제품 진단 여부와 상관없이 감염은 이루어지지 않는다고 보시면 됩니다.

      하지만 패치가 안된 PC에서는 접속하는 것 자체만으로도 자동 감염이 발생할 수 있습니다.

      이런 경우에는 보통 사용자가 감염된 상태로 특정 온라인 게임에 로그인할 경우 계정 정보가 외부로 유출됩니다.

      보안 제품에서 정밀 검사를 했는데 진단되지 않았다면 안심하셔도 될 것 같고, 핵심은 보안 패치를 매월 꾸준하게 하시라는 것입니다.^^

  • 슈퍼감사 2011.02.06 12:25 댓글주소 수정/삭제 댓글쓰기

    winweng 땜에 고생했는데 님블로그 보고 저파일들 찾아지웠습니다
    특히나 winpingwing파일은 그냥은 안지워져서 반신반의 하며 언락커로 강제삭제했는데 성공했습니다.
    정말 감사드립니다. 새해 복많이받으소~

  • 저기 작성자님 죄송한데요 2011.02.11 22:57 댓글주소 수정/삭제 댓글쓰기

    제가 보안패치를안한거같은데 홈페이지링크를 눌렀습니당.
    근대 작성자님이 작성해주신거 다찾아봣는데 파일은없엇어요 근대 이거 해킹당할까요?
    알약검사도정상적으로되는데
    어떻게해야하나요?

    아그리고 보안패치는 무엇을해야하나요?

    • 보안 제품에서 진단되는 부분이 없다면 감염은 아닌 것 같습니다.

      보안 패치를 하지 않을 경우 화면 우측 하단 시계 옆에 노란색 방패가 뜹니다.

      그걸 클릭하면 사용자가 설치하지 않은 보안 패치가 전부 표시가 됩니다.

      또는 http://hummingbird.tistory.com/156 내용처럼 업데이트를 하실 수 있습니다.

  • 인터넷 초짜 2011.03.14 22:24 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.ㅠㅠ
    이틀전에 네이트온을 할려고 했는데.ㅠㅠ
    갑자기 이런 문구가 뜨더라구요.ㅠㅠ
    네이트온 보안바이러스 침투어짜고저짜고 하면서 네이트온접속이 안되더라구욥...
    그래서 v3 알약으로 해도 안나오더라구요
    C:\WINDOWS\system\winpingying.ime
    이런런게 있다는데
    이거 지울려면 어떻게 지우나요?ㅠㅠ
    네이트온 접속을 못하고있어요~ㅠㅠ

    • 안녕하세요.

      감염된 상태에서 네이트온 로그인을 시도하면 외부로 정보가 빠져 나갈 수 있습니다.

      해당 파일은 사용자가 웹 브라우저 등을 실행할 경우 함께 동작하므로, 안전모드에서 해당 파일을 찾아 제거해 보시기 바랍니다.

      되도록 보안 제품을 이용하여 정밀 검사를 하시기를 바랍니다.

  • 인터넷ㅠㅠ 2011.04.21 23:13 댓글주소 수정/삭제 댓글쓰기

    안녕하세요ㅠ 네이트온을 하려는데 winpingying에 감염됬다고 로그인이 안되네여ㅠ
    근데 내컴퓨터 들어가서 윈도우즈 시스템 들어가서 찾아봤는데도 그런 파일은 안보이고 굼김파일표시해도 안뜨네요ㅠ 안전모드 들어가서 탖아봤는데도 없고ㅠㅠ
    그래서 일단 cmd로 삭제하는법 찾아서 하고나서 네이트를 다시 들어갔는데 또그러네요..ㅠㅠ 왜그럴까요ㅠㅠ


    아 그리고 이건 다른 질문인데요 cpu100%가 자꾸 떠서요..ㅠ
    작업관리자 들어가서 프로세스에서 cmd.img 인가 그거 끝내면 다시 0으로 돌아오긴하는데 자꾸 그러네요.. 이건 어떻게 해야할까요..?ㅠㅠ

  • winpingying.ime 검색하고 들어왔다가 궁금한 점 있어서 댓글 남깁니다...

    이게 감염이 된 후에 로그인하는 계정만 비밀번호 유출이 되는 건가요?
    또 이거 감염되면 네이트온 로그인이 안 되잖아요... 근데 그 전부터 감염돼서 계속 유출되다가 어느 순간부터 네이트온이 창 띄우면서 로그인을 안 시키는 건지, 아니면 감염된 순간부터 네이트온 로그인이 안 되는 건지...
    또 PC에 보관중인 공인인증서나 안심클릭 비밀번호도 바꿔야 하는 건지... 이게 궁금합니다. ㅠㅠ

    도대체 어디서부터 비밀번호를 바꾸고 다녀야 하는지가 감이 안 잡혀서요... ㅠㅠ
    답변 주시면 감사하겠습니다 ㅠㅠ

    • 안녕하세요.

      해당 악성코드는 프로그램에서 지정한 특정 온라인 게임 계정, 네이트온 계정 정보를 로그인하는 과정에서 유출을 합니다.

      만약 감염이 되었다면 네이트온 로그인시에 로그인을 할 경우 정보는 외부로 나가고 로그인은 실패할 수 있습니다.

      치료 후에는 사용자가 이용하시는 온라인 게임과 네이트온 비밀번호만 교체를 하시면 됩니다.

  • 아~~ 그런거군요 ㅠㅠㅠ 감사합니다 도움이 많이 되었어요!!

  • ㄷㅈㄱ 2011.05.23 16:14 댓글주소 수정/삭제 댓글쓰기

    그래서 어쩌라는거야. v3도 꺼버리지 안전모드도 안들어가지지 wingweng.exe파일은 자가복제파일이라 진짜는 다른곳에 있지. 뭐 어쩌라고. 너같이 문제점만 나열해놓고 전혀 답이 없는 새222끼들이 제일 좃11병233신같애

    • 욕은 잘하시는군요. 보안 패치는 못하면서..

    • ㅇㅇ 2011.05.23 16:33 댓글주소 수정/삭제

      병신아 좀 알고 떠들던가~ 자가복제 한 후에 진짜는 삭제 된다~
      그리고 파일마다 진단정보 나오자나~
      그 제품으로 탐지를 하든가~ 그리고 제일 문제점이 먼지아냐?
      너가 보안패치를 안받아서 걸린거야 ㅋㅋ 병신아!!