네이트온(NateOn) 메신저 악성코드 : g123.exe (2011.4.10)

최근 네이트온(NateOn) 메신저를 이용하여 특정 링크를 친구에게 전달하여 해당 링크를 클릭한 사용자의 PC 환경이 보안 패치가 제대로 이루어지지 않은 경우 자동으로 감염되는 방식에 대해 살펴보도록 하겠습니다.

특히 이번 시간에는 네이트온 악성코드 감염시 어떤 악의적인 동작이 발생하는지 여부와 Internet Explorer 웹 브라우저가 정상적으로 동작하지 않아서 인터넷이 되지 않는 문제를 수동으로 해결할 수 있는 임시 해결책을 소개해 드리겠습니다.

• 보안 취약점을 이용한 게시판 유도형 네이트온(NateOn) 메신저 악성코드 (2011.1.17)

보안 취약점을 이용한 네이트온 악성코드 유포에 대한 부분은 기존의 내용을 참고하시기 바랍니다.

[악성코드 유포 경로]

h**p://xind***.com/1.html
 ㄴ h**p://xind***.com/0.js :: F-Prot : JS/ShellCode (VirusTotal : 5/42)
 ㄴ h**p://xind***.com/1.js :: Microsoft : Exploit:JS/Mult.CR (VirusTotal : 2/41)
 ㄴ h**p://xind***.com/2.js
 ㄴ h**p://xind***.com/3.js
   ㄴ h**p://www.zioro****.com/dasg/g123.exe

사용자가 특정 URL 링크를 클릭할 경우 사용자의 눈에는 다음과 같은 자극적인 여성의 사진이 노출됩니다.

하지만 해당 여성 사진은 사용자를 기만하기 위한 수법이며, 실제로는 iframe으로 등록된 1.html 추가를 통해 다수의 악성 스크립트에 노출되어 보안 패치가 제대로 이루어지지 않은 취약한 PC의 경우 자동으로 g123.exe(MD5 : 40a06d5f441d4cd5c48fcceccadcaadb) 파일이 다운로드되어 실행됩니다.

참고로 g123.exe 파일에 대하여 알약(ALYac) 2.0 Sophos 엔진에서는 Mal/EncPk-CK (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

해당 파일은 그림 아이콘으로 위장되어 있으며, 원본 파일 이름은 historyinfoTransfer.dll로 등록되어 있습니다.

특히 현재 유효하지 않은 Tencent Technology(Shenzhen) Company Limited 디지털 서명이 포함되어 있습니다.

해당 악성코드에 감염된 환경에서는 다음과 같은 2개의 악성 파일이 생성되는 것을 확인할 수 있습니다.

• C:\WINDOWS\FXSST.dll (MD5 : 7aed03cac77d5049b66060709710ab52)
• C:\WINDOWS\system32\V3lght.dll (MD5 : 19fa38caa9bd851f15552d3157368577)

참고로 알약(ALYac) BitDefender 엔진에서는 해당 파일 모두 사전 진단을 하고 있으므로 참고하시기 바랍니다.

1. 네이트온 메신저 계정 탈취

해당 악성코드에 감염되면 작업 관리자 불능, 보안 제품 무력화, Internet Explorer 오류로 인한 인터넷 불능 등 다양한 문제를 유발하면서 네이트온 메신저 로그인시 계정 정보를 탈취하는 동작을 확인할 수 있습니다.

네이트온 로그인시 홍콩(HongKong)에 위치한 naokfha.com(61.93.204.67) 호스팅으로 사용자가 입력한 네이트온 아이디(ID)와 비밀번호(Password)가 유출되는 것을 확인할 수 있습니다.

2. Internet Explorer 동작 방해

악성코드 감염시 보안 제품 무력화를 통해 자신의 진단을 방해하는 것 이외에도 사용자가 인터넷을 통해 문제를 해결하거나 마이크로소프트(Microsoft) 보안 패치를 설치하는 것을 방해할 목적으로 Internet Explorer 웹 브라우저가 실행되지 않도록 변조를 합니다.

감염된 Internet Explorer를 실행할 경우 iexplore.exe 프로세스를 살펴보면 파일 Command line 값이 수정되어 있는 것을 확인할 수 있습니다.

그렇다면 이런 경우 사용자가 보안 업체 신고, 인터넷을 통한 문제 해결 등을 위해 임시적으로 인터넷을 할 수 있는 방법을 살펴보도록 하겠습니다.

해당 문제 해결을 위해서는 Process Explorer, 7-Zip 기능을 이용하여 소개를 하겠습니다.(※ 해당 문제 해결을 위해서는 최대한 나머지 프로그램은 모두 종료를 한 상태에서 진행을 하시는 것이 좋습니다.)

네이트온 악성코드는 변종에 따라 다르겠지만 일반적으로 동작 방식이 정상적인 프로세스에 그림과 같이 악성 파일을 추가하여 동작하므로 사용자가 수동으로 파일 삭제시 정상적으로 삭제가 이루어지지 않습니다.

일단 Process Explorer를 이용하여 explorer.exe 프로세스에 추가되어 동작하는 프로세스를 찾아 네이트온 악성코드로 인해 생성된 파일을 찾습니다.

생성된 파일 위치를 확인한 후에는 explorer.exe 프로세스를 강제 종료(Kill Process)를 합니다.

참고로 해당 프로세스가 종료된 경우 윈도우 작업 표시줄이 사라지므로 오해하지 않도록 하시기 바랍니다.

Process Explorer 메뉴 중 [File - Run] 실행을 통해 생성된 실행창에 7-Zip을 실행하기 위한 ["C:\Program Files\7-Zip\7zFM.exe"] 명령어를 입력하시기 바랍니다.(※ 찾아보기 버튼을 이용하여 7-Zip 설치 폴더의 7zFM.exe 파일을 선택하셔도 됩니다.)

참고로 7-Zip File Manager 기능을 개인적으로 선호하는 이유는 사용자가 폴더 옵션에서 숨김 파일, 보호된 운영 체제 파일이 보이도록 설정을 하지 않아도 기본값으로 표시가 되기 때문입니다.

먼저 7-Zip 탐색기를 이용하여 [C:\WINDOWS\FXSST.dll] 파일을 찾아 삭제를 시도하시면 정상적으로 삭제가 이루어집니다.

그 다음으로 [C:\WINDOWS\system32\V3lght.dll] 파일을 동일하게 삭제를 시도할 경우 정상적으로 삭제를 할 수 없다는 메시지가 표시됩니다.

이유는 해당 V3lght.dll 파일은 explorer.exe 프로세스 이외에 7-Zip 프로세스 등 다수의 프로세스에 추가되어 동작하므로 현재 상태에서는 삭제할 수 없습니다.

그러므로 V3lght.dll 파일을 선택하여 파일 확장자를 그림과 같이 변경하시기 바랍니다.

참고로 비록 파일 확장자를 변경하여도 현재 7-Zip 프로세스에 추가되어 있으므로 파일 삭제는 이루어지지 않습니다.

그러므로 7-Zip을 종료한 후, Process Explorer 실행창을 열어 explorer.exe 명령어를 이용하여 정상적인 윈도우 환경으로 돌아오시기 바랍니다.

사용자는 윈도우 탐색기를 이용하여 시스템 폴더에 존재하는 파일 확장자가 변경된 V3lght.dll 파일을 찾아 일반적인 파일 삭제를 하듯이 삭제를 하실 수 있습니다.

위와 같은 절차 이후에 Internet Explorer를 실행하시면 정상적으로 인터넷을 이용하실 수 있으며, 반드시 사용하시는 보안 제품을 최신 DB 업데이트를 통해 정밀 검사를 추가적으로 진행하시기 바랍니다.

보안 제품을 통한 검사 후에는 네이트온 계정 정보(비밀번호)를 반드시 변경하여 외부에서 악의적으로 이용하는 일이 없도록 예방을 하시기 바랍니다.