본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : adjku.exe (2011.4.17)

국내 네이트온(NateOn) 메신저 쪽지 등을 통하여 유포되는 악성 링크(URL)를 클릭할 경우 외형적으로는 여성 사진이 노출되지만, 보안 패치가 제대로 이루어지지 않은 취약한 PC의 경우 자동으로 감염되는 악성코드 유포 행위가 발견되고 있습니다.

해당 악성코드 유포는 기존의 g123.exe 파일 유포자와 동일하며 사진 교체와 보안 제품 진단 우회를 목적으로 계속적인 변종을 제작하고 있는 것으로 보입니다.

[악성코드 유포 경로]

h**p://www.hsgdh***.com :: 쪽지에서 제시되는 링크(URL)

h**p://www.hsgdh***.com/1.html
 ㄴ h**p://www.hsgdh***.com/k.js
 ㄴ h**p://www.hsgdh***.com/yangfd/adjku.exe


문제의 링크를 클릭할 경우 사용자 웹 브라우저 화면에서는 좌측과 같은 자극적인 여성의 사진이 노출되고 있으며, 1.html 스크립트를 통해 취약점이 존재하는 PC의 경우 자동으로 감염이 진행되도록 구성되어 있습니다.

해당 악성 스크립트에 대하여 마이크로소프트(Microsoft) 보안 제품에서는 Exploit:JS/Mult.CR (VirusTotal : 8/41) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

최종적으로 다운로드되는 adjku.exe (MD5 : 71ebd5a5491720c079bb0a86dfc43c56) 파일은 알약(ALYac) 2.0 Sophos 엔진에서 Mal/Behav-066 (VirusTotal : 19/41) 진단명으로 사전 차단하고 있는 것을 확인하였습니다.

해당 악성코드에 감염된 PC에서는 다음과 같은 2개의 파일을 생성하여 다양한 프로세스에 자신들을 추가하여 동작하는 것을 확인할 수 있습니다.


[생성 파일 및 진단 정보]

C:\WINDOWS\FXSST.dll (MD5 : 874dda77adbe2b66a58bf9e2d43b493a)
 - Hauri ViRobot : Trojan.Win32.PSWMagania.16384.M (VirusTotal : 12/42)

C:\WINDOWS\system32\V3lght.dll (MD5 : bd0d9c72e3166536703d96cd97380fbb)
 - Hauri ViRobot : Trojan.Win32.PSWMagania.16384.M (VirusTotal : 12/42)

생성된 V3lght.dll 파일은 Nexon에서 서비스하는 온라인 게임 던전앤파이터, 메이플스토리(MapleStory), 네이트온(NateOn), MSN 메신저 계정 정보를 탈취하는 기능이 포함되어 있습니다.

또한 기존과 동일하게 Internet Explorer 웹 브라우저의 실행을 방해하여, 사용자가 보안 업체 등의 인터넷 사이트 접속을 차단하고 있는 것을 확인할 수 있습니다.

감염된 PC에서 네이트온 메신저 로그인을 시도할 경우 기존과 동일하게 홍콩(HongKong)에 호스팅된 naokfha.com(61.93.204.67)로 계정 정보가 유출되는 것을 확인할 수 있습니다.

온라인 게임 계정 정보는 아이템 탈취 등의 금전적 피해를 유발하며, 메신저 계정 정보는 추가적인 유포에 활용하거나 메신저 피싱(Phishing)에 악용될 수 있으리라 추정됩니다.

그러므로 해당 악성코드에 감염된 사용자는 먼저 악성코드를 제거한 후, 반드시 온라인 게임 및 메신저 등 비밀번호를 변경하시기 바랍니다.

해당 악성 파일은 정상적인 프로세스에 자신을 추가하여 삭제를 방해하므로, 기존에 설명한 삭제 방법을 이용하여 삭제를 하시거나 보안 제품 정밀 검사를 통한 치료를 하시기 바랍니다.

  • 흰새 2011.04.17 22:13 댓글주소 수정/삭제 댓글쓰기

    부모님 저뒤에 계시는데 그사진보고 깜놀했습니다;;

  • <+> 2011.04.20 15:11 댓글주소 수정/삭제 댓글쓰기

    저도 며칠전에 친구가 보낸 쪽지라서 아무생각없이 눌렀었는데.. 저그림 뜨더라구요..그래서 이놈이 왜 이런걸 보냈을까하고 하고 그냥 껏는데.. 곰곰히 생각해보니 혹시 바이러스가 아닐까해서.. 검색했더니 여기까지 방문하게되었습니다. 그런데 그뒤에 이상한 징후 같은건 못 느꼈구요. 인터넷 잘되고 메이플이니 던전이니 하는 게임은 애초에 하지도 않구요 네이트온도 접속않고 웹으로 가끔 접속했었는데 비번도 그대로고.. 제껄로 쪽지가 간 흔적도 없고.. 혹시나해서 오늘 네이버 백신으로 전체 검사했더니 Dropper.. 라는 악성코드가 하나 발견됫다고 나오네요 일단 치료는 했는데 더이상 이상은 없겠죠? 제 남동생이 좀비 피씨됐다고 그사람이 내가 컴퓨터로 하는거 다 보고있다고 하는데..자기도 넷버스라는거에 당해서 게임아이템 다 날렸다고..포멧을 하라는데..그런데 여기 글 보니 그런건 아닌것같고 그래도 불안하네요.. 답변해주세요ㅎ..ㅜ ㅜ

  • 감사합니다. 2011.04.23 02:21 댓글주소 수정/삭제 댓글쓰기

    일단 글 잘봤구요.
    저 사이트로 들어갔는데 이상해서 검색해보니 악성코드라해서 찾아봤는데요.
    알약으로 막아진다고 해서 그제서야 알약설치하니까(그전에 백신프로그램없었어요)트로이목마가 검색되더라고요 그래서 그거 치료했는데 이제 걱정안해도 되는건가요?

    • 네.. 알약에서 제대로 방어를 하고 있는 것으로 보입니다.

      근본적으로 윈도우, Adobe Flash Player 보안 패치가 제대로 되어 있다면 알약에서 진단하지 않아도 자동 감염으로 연결되지는 않습니다.

      그리고 되도록이면 시험삼아 함부로 악성 사이트 접속을 하지 않도록 하시기 바랍니다.

      이유는 공격자가 수시로 수정을 할 수 있기 때문에 위험합니다.

  • sui 2011.06.29 20:00 댓글주소 수정/삭제 댓글쓰기

    아..저도 친구가 보내왔길래 괜한 호기심에 클릭했는데ㅠㅠ
    이상한 사진은 아니었는데 무슨?사진이 바탕화면에 저장되면서 컴퓨터가 이상하길래..
    바탕화면에 있던 거 삭제해주고 B인터넷 클린으로 해주었는데..그후로 인터넷이 오류먹고 잘안되더라구요 느려지고ㅠㅠ그래서 위방법으로 삭제하려니..저파일은 없구 막막하네요 밀어야할까요?

    • 아마 감염된 것이 맞는 것 같습니다.

      이들 악성 파일은 국내 보안 제품의 진단을 방해할 수 있으므로, avast!, AVG, AntiVir와 같은 해외 무료백신을 설치하여 정밀 검사를 해 보시는 것도 하나의 방법입니다.^^

  • sui 2011.06.29 20:24 댓글주소 수정/삭제 댓글쓰기

    답변 빠르시네요ㅎㅎ
    감사합니다!어찌하다가 트로인?이라는 바이러스가..2개떠버렸지만ㅜㅜ
    다운받아서 정밀검사하는데 불안불안하네요..