울지않는벌새 : Security, Movie & Society

네이트온(NateOn) 메신저 악성코드 : adjku.exe (2011.4.17)

벌새::Analysis
국내 네이트온(NateOn) 메신저 쪽지 등을 통하여 유포되는 악성 링크(URL)를 클릭할 경우 외형적으로는 여성 사진이 노출되지만, 보안 패치가 제대로 이루어지지 않은 취약한 PC의 경우 자동으로 감염되는 악성코드 유포 행위가 발견되고 있습니다.

해당 악성코드 유포는 기존의 g123.exe 파일 유포자와 동일하며 사진 교체와 보안 제품 진단 우회를 목적으로 계속적인 변종을 제작하고 있는 것으로 보입니다.

[악성코드 유포 경로]

h**p://www.hsgdh***.com :: 쪽지에서 제시되는 링크(URL)

h**p://www.hsgdh***.com/1.html
 ㄴ h**p://www.hsgdh***.com/k.js
 ㄴ h**p://www.hsgdh***.com/yangfd/adjku.exe


문제의 링크를 클릭할 경우 사용자 웹 브라우저 화면에서는 좌측과 같은 자극적인 여성의 사진이 노출되고 있으며, 1.html 스크립트를 통해 취약점이 존재하는 PC의 경우 자동으로 감염이 진행되도록 구성되어 있습니다.

해당 악성 스크립트에 대하여 마이크로소프트(Microsoft) 보안 제품에서는 Exploit:JS/Mult.CR (VirusTotal : 8/41) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

최종적으로 다운로드되는 adjku.exe (MD5 : 71ebd5a5491720c079bb0a86dfc43c56) 파일은 알약(ALYac) 2.0 Sophos 엔진에서 Mal/Behav-066 (VirusTotal : 19/41) 진단명으로 사전 차단하고 있는 것을 확인하였습니다.

해당 악성코드에 감염된 PC에서는 다음과 같은 2개의 파일을 생성하여 다양한 프로세스에 자신들을 추가하여 동작하는 것을 확인할 수 있습니다.


[생성 파일 및 진단 정보]

C:\WINDOWS\FXSST.dll (MD5 : 874dda77adbe2b66a58bf9e2d43b493a)
 - Hauri ViRobot : Trojan.Win32.PSWMagania.16384.M (VirusTotal : 12/42)

C:\WINDOWS\system32\V3lght.dll (MD5 : bd0d9c72e3166536703d96cd97380fbb)
 - Hauri ViRobot : Trojan.Win32.PSWMagania.16384.M (VirusTotal : 12/42)

생성된 V3lght.dll 파일은 Nexon에서 서비스하는 온라인 게임 던전앤파이터, 메이플스토리(MapleStory), 네이트온(NateOn), MSN 메신저 계정 정보를 탈취하는 기능이 포함되어 있습니다.

또한 기존과 동일하게 Internet Explorer 웹 브라우저의 실행을 방해하여, 사용자가 보안 업체 등의 인터넷 사이트 접속을 차단하고 있는 것을 확인할 수 있습니다.

감염된 PC에서 네이트온 메신저 로그인을 시도할 경우 기존과 동일하게 홍콩(HongKong)에 호스팅된 naokfha.com(61.93.204.67)로 계정 정보가 유출되는 것을 확인할 수 있습니다.

온라인 게임 계정 정보는 아이템 탈취 등의 금전적 피해를 유발하며, 메신저 계정 정보는 추가적인 유포에 활용하거나 메신저 피싱(Phishing)에 악용될 수 있으리라 추정됩니다.

그러므로 해당 악성코드에 감염된 사용자는 먼저 악성코드를 제거한 후, 반드시 온라인 게임 및 메신저 등 비밀번호를 변경하시기 바랍니다.

해당 악성 파일은 정상적인 프로세스에 자신을 추가하여 삭제를 방해하므로, 기존에 설명한 삭제 방법을 이용하여 삭제를 하시거나 보안 제품 정밀 검사를 통한 치료를 하시기 바랍니다.