본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 : teng.exe (2011.5.29)

네이트온(NateOn) 메신저를 이용한 특정 URL 주소 전송을 통해 해당 링크에 접속한 사용자 중 Internet Explorer 취약점, Adobe Flash Player 취약점이 존재할 경우 자동으로 감염을 유발하는 유포가 확인되었습니다.
 

해당 유포자는 기존에 동일한 방법으로 악성코드를 유포한 자로 추정되며, 해당 링크에 접속할 경우 자극적인 여성 사진을 제시하는 공통점이 있습니다.

 

해당 악성 URL 소스를 확인해보면 외형적으로 여성 사진만 노출이 이루어지며, 악성 iframe을 통해 Adobe Flash Player 취약점을 이용한 1.html 스크립트와 Internet Explorer 웹 브라우저 취약점(CVE-2010-0806)을 이용한 2.html 스크립트를 통해 보안 패치가 이루어지지 않은 사용자 PC의 자동 감염을 유발합니다.

참고로 1.html 파일은 알약(ALYac) 2.0 보안 제품에서 Exploit.JS.Mult.Swf 진단명으로 진단되며, 2.html 파일은 avast! 보안 제품에서 JS:CVE-2010-0806-DB 진단명으로 진단되고 있습니다.

 

해당 취약점은 MS10-018 보안 패치와 최근에 공개된 Adobe Flash Player 10.3 버전이 설치된 PC에서는 보안 제품의 진단 여부와 상관없이 감염되지 않습니다.

최종적으로 다운로드되는 teng.exe(MD5 : 91fc3d934f152d17642cf86b4f25c965) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack 진단명으로 진단되고 있으며, 사용자 PC에서는 [C:\WINDOWS\svchost.exe] 파일로 자신을 복제하여 동작합니다.

 

참고로 svchost.exe 파일은 원래 [C:\WINDOWS\system32\svchost.exe] 시스템 파일과 파일명이 동일하지만 위치하는 폴더 위치가 다르며, 동일한 이름으로 인하여 사용자가 확인하기에 어려움이 있습니다.

 

복제된 svchost.exe 파일은 System Service 이라는 이름으로 서비스에 등록한 후 홍콩(HongKong)에 위치한 61.93.204.91:80 서버에 접속하여 추가적으로 3개의 파일을 다운로드 시도를 하고 있습니다.

 

[svchost.exe 파일이 다운로드하는 설치 파일 진단 정보]

h**p://www.bbty****.com/ka***/gsd01.exe
 - MD5 : 64a16186cfdf6b34cb95ea9bc3034b28
 - Kaspersky : Trojan-Dropper.Win32.Agent.exkk (VirusTotal : 9/42)

h**p://www.bbty****.com/ka***/gsd02.exe
 - MD5 : 10e33b23e37353b269287ae5bb28cc18
 - Kaspersky : Trojan-Dropper.Win32.Agent.exkk (VirusTotal : 9/42)

※ h**p://www.bbty****.com/ka***/gsd06.exe :: 테스트 당시 다운로드 불가 상태

 

[생성, 변경 폴더 /  파일 등록 및 진단 정보]

C:\Program Files\%rCH3U5UF54DSxdE%

C:\WINDOWS\FXSST.dll
 - MD5 : E1FBF39FD952939886C43F9AE7D17664
 - Hauri ViRobot : Trojan.Win32.Onlinegamehack.31232

C:\WINDOWS\svchost.exe :: teng.exe 파일 자가 복제
 - MD5 : 91fc3d934f152d17642cf86b4f25c965
 - AhnLab V3 : Dropper/Win32.OnlineGameHack

C:\WINDOWS\Fonts\Ms.log :: 숨김(H) 속성
 - MD5 : A44D7EB524528DE3B724FD14C0FEE75E

C:\WINDOWS\system32\2011529151135.dll :: 2011(Random 9~10자리 숫자).dll 패턴

C:\WINDOWS\system32\lpk.dll :: 변경 전 파일 크기 : 22,016 Bytes / 변경 후 파일 크기 : 33,585,888 Bytes
 - MD5 : AC68FC89130EEF7799BFE73DE9D20F70
 - Dr.Web : Trojan.PWS.Gamania.30169


C:\WINDOWS\system32\lpk32.dll :: lpk.dll 백업 파일(정상 파일)

C:\WINDOWS\system32\V3lght.dll
 - MD5 : B16B64BB4D7BC95409F229AB2D32807E
 - Hauri ViRobot : Trojan.Win32.Amvo.Gen

감염 과정에서 정상적인 lpk.dll(Language Pack) 파일이 패치(Patch)되어 lpk32.dll 파일로 백업되며, lpk.dll 파일은 악성 파일로 교체가 이루어집니다.

감염된 PC는 시스템 시작시마다 서비스에 등록된 svchost.exe 파일이 자동 실행되며, 계속적으로 gsd01.exe / gsd02.exe / gsd06.exe 파일들을 다운로드 시도를 하도록 구성되어 있습니다.

 

또한 Windows 시작마다 시스템 폴더에 2011(Random 9~10자리 숫자).dll 파일 패턴 형태로 설치 시간을 기록하는 파일을 추가하는 동작을 확인할 수 있습니다.

 

악의적인 동작을 살펴보면 사용자가 네이트온(NateOn) 메신저를 실행하고 로그인을 시도할 경우 NateOnMain.exe 프로세스에 악성 파일 모듈을 추가하여 계정 정보를 외부로 유출하도록 구성되어 있습니다.

또한 FIFA, 피망(PMang), 메이플스토리(MapleStory), 던전앤파이터, 넷마블(NetMarble) 등 온라인 게임 사이트 로그인시 계정 정보를 유출하는 동작도 가능합니다.

감염된 사용자는 메신저 및 온라인 게임 로그인을 하지 않도록 주의하시기 바라며, 국내외 유명 보안 제품을 이용하여 정밀 검사를 하시길 권장합니다.

만약 수동으로 문제를 해결하기 원하시는 분들은 모든 프로그램을 종료한 상태에서 다음의 절차대로 진행하시기 바라며, 차후 보안 제품을 이용하여 정밀 검사를 반드시 하시기 바랍니다.

 

먼저 서비스(services.msc)에 등록된 System Service 항목을 찾아 서비스 상태를 중지로 변경을 합니다.

이 과정에서 [C:\Program Files\%rCH3U5UF54DSxdE%\26533220999.exe] 파일이 생성되어 FXSST.dll / V3lght.dll 파일을 재설치를 시도하므로 참고하시기 바랍니다.

참고로 26533220999.exe(MD5 : 0165623BD49393369ABA42CDE67F6379) 파일에 대하여 Microsoft 보안 제품에서는 VirTool:Win32/Obfuscator.GE 진단명으로 진단되고 있습니다.

서비스를 중지한 후에는 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\%rCH3U5UF54DSxdE%
  • C:\Program Files\%rCH3U5UF54DSxdE%\26533220999.exe
  • C:\WINDOWS\svchost.exe

또한 서비스 등록에 사용된 2개의 레지스트리 값을 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_*6E9D*56FA*BC11*C229*B969*86DF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\溝固밑숩륩蛟

 

해당 항목을 삭제 후에는 추가적으로 다음의 파일 확장자를 변경하시기 바랍니다.

 

  • C:\WINDOWS\FXSST.dll → FXSST.dll-
  • C:\WINDOWS\system32\2011(Random 9~10자리 숫자).dll → 2011(Random 9~10자리 숫자).dll-
  • C:\WINDOWS\system32\lpk.dll → lpk.dll-
  • C:\WINDOWS\system32\V3lght.dll → V3lght.dll-

참고로 lpk.dll 파일 확장자를 변경할 경우 윈도우 파일 보호(WFP) 기능으로 [C:\WINDOWS\system32\lpk.dll] 파일이 자동으로 생성(복원)되는 것을 확인할 수 있습니다.

모든 절차 후에는 반드시 시스템 재부팅을 한 후, 파일 확장자를 변경한 파일들을 찾아 모두 수동으로 삭제하시기 바랍니다.

현재 해당 악성코드 유포 행위는 중지되었지만, 감염된 PC의 경우 시스템 시작시마다 중국어로 제작된 계산기 프로그램이 생성되는 동작이 있을 수 있습니다.

그러므로 보안 제품을 이용하여 시스템 감염 여부를 철저하게 확인하시기 바라며, 치료 후에는 반드시 네이트온 메신저와 온라인 게임 계정 비밀번호를 변경하시는 것이 차후 금전적 피해 및 피싱(Phishing)을 예방할 수 있습니다.

  • 바이로봇 진단 항목은 바토에서 진단한 내역이 아닌가 보군요?? 해쉬값이 없다고 그러네요.

  • 왠지 보안업데이트만 잘해도 막을수가 있을것같습니다

  • 벌새님 질문 하나 있습니다.
    어제 실시간검사에서 잡혀서 검역소에 있는 파일을 보내면 분석 포스팅을 해주실수 있으십니까?
    지금 디시인사이드 광고와 게시판에 바이러스가 있습니다.
    하지만 정확히 어디서 왔는지 모릅니다.

    혹시 분석해주실수 있는지요?

    • 관련 파일을 haslian(네이버 이메일)으로 보내주시면 확인해 보겠습니다.

      아마 제 생각에는 기존에 작성한 유사 온라인 게임 탈취와 흡사할 것 같은데요~

  • wit23 2011.06.07 20:26 댓글주소 수정/삭제 댓글쓰기

    프로그램파일에 이상한 폴더가 생겼길래 검색해봤더니 이거더라구요ㅠㅠ 덕분에 잘 고쳤습니다 감사해요~ 고치고나서 부랴부랴 업데이트하고 방화벽도 깔고 난리도 아니었네요ㅠㅠ

  • wit23 2011.06.08 02:42 댓글주소 수정/삭제 댓글쓰기

    근데요. 지금 fxsst 이거 윈도우즈 폴더에서 다시 검색해봤더니 다시 나오더라구요? 이건 대체 뭔가요ㅠㅠ 대문자는 아니고 소문잔데. 일단 세파일 다 윈도우즈 내에 있긴한데 윈도우즈 내 하위폴더에 하나씩 이렇게 있네요. 이거 관련 전용백신도 v3랑 알약꺼 두개나 다 돌렸었는데ㅠㅠ servicepackuninstall$, servicepackfiles\i386, SoftwareDistribution\Download\e622130f6481891e5f65edc93c1a0d09 이렇게 세 폴더에요ㅠㅠ 위치가 달라서 막 삭제하기도 뭐하고ㅠㅠ

    • 네이트온 악성 파일이 이름은 동일해도 약간씩 변형이 있을 수 있습니다.

      해당 파일을 VirusTotal에 등록하여 악성 여부를 체크하신 후 제거를 하시기 바랍니다.

      아마 삭제될 것으로 대비하여 여러 곳에 위치하는게 아닐까 싶습니다.

  • wit23 2011.06.08 20:48 댓글주소 수정/삭제 댓글쓰기

    자꾸 여쭤봐서 죄송해요ㅠㅠ 바이러스 토탈 홈페이지가서 검사해봤는데 전부다 o으로 나오네요. 이건 그럼 안전한 파일인건가요? 근데 왜 하필 파일명이 같아서ㅠㅠ

    • 해당 파일은 OS 종류에 따라 다소 다르겠지만, Windows 7 환경에서는 시스템 폴더에 존재하는 Fax Service 파일로 기본 파일입니다.

      악성 파일들은 일반적으로 시스템 파일과 유사하게 또는 동일하게 구성하는 경우가 많습니다.

      이번의 경우에는 원래 위치인 시스템 폴더가 아닌 윈도우 폴더에 위치한다는 점에서 악성 파일이며, 시스템 폴더에 있는 정상적인 FXSST.dll 파일을 패치하여 감염시킬 수도 있겠죠.

      그러므로 질문하신 분의 PC가 Windows 7 환경이라면 정상 파일일 수도 있으며, 시스템 폴더가 아닌 다른 위치에 있다면 의심스러운 파일일 수도 있습니다.

      더 자세한 부분은 해당 파일들을 보안 업체에 문의해 보시기 바랍니다.

  • wit23 2011.06.09 01:27 댓글주소 수정/삭제 댓글쓰기

    7은 아니고xp예요ㅠㅠ 여튼 일일이 답변 다 해주셔서 감사했어요. 보안업체에 문의메일이나 넣어야겠네요.

  • 물리학자 2011.06.12 15:49 댓글주소 수정/삭제 댓글쓰기

    감사합니다.

  • 질문이요! 2011.06.18 23:20 댓글주소 수정/삭제 댓글쓰기

    벌새님
    V3가 실시간으로 막아줘서 제거하는데요
    이틀에 한번꼴로 생겨요
    제가 온디xx라는 p2p를 써서그런걸까요??
    아니면 아프리x를 써서 그런가요ㅜ?

    그리고 v3가 막아주면 벌새님이 써주셧던것처럼 안나오고
    programfile 에만 '%NXU32YHysu3YDU3IDd46TGh%'이 생겨서 이것만 지워주고 잇거든요.. 이게문제일까요?

    • 안녕하세요.

      해당 악성파일이 감염되는 근본적인 원인은 사용자가 보안 패치를 안해서 그렇습니다.

      이번 악성코드의 경우 윈도우 보안 패치는 물론이거니와 Adobe Flash Player 최신 버전 패치를 해야 합니다.

      http://get.adobe.com/kr/flashplayer/?promoid=BUIGP

      윈도우 보안 패치와 함께 반드시 해당 링크에서 최신 버전을 설치하시기 바랍니다.

      그리고 웹하드 이야기를 하셨는데 주말만되면 말씀하신 그런 웹하드 사이트가 해킹되어 사용자가 보안 패치를 하지 않은 상태에서 접속시 자동으로 감염됩니다.

      그러므로 적으신 내용을 봐서는 보안 제품으로 매번 차단을 하지만 보안 패치가 되어 있지 않아서 매번 감염의 위험성을 가지고 있습니다.

    • 헤헤 2011.06.19 14:14 댓글주소 수정/삭제

      벌새님 답변감사합니다

      flash player 10 받앗구요 설치햇어요

      근데요. 윈도우 업뎃은 하기가...
      제가 이거 포멧할때 윈7로 컴터수리점가서 깔앗는데요
      전에 업뎃햇다가 윈도우 인증땜에 ㅠㅜ

      flash player 10만 설치하고
      윈도우 업뎃안해도 괜찮을까요?

      그런데 벌새님은 컴퓨터관련일을 하시나요?ㅎㅎ
      엄청 잘 아시네요!

    • 해당 감염 방식이 Adobe Flash Player 취약점과 IE 웹 브라우저 취약점을 함께 이용합니다.

      그러므로 윈도우 보안 패치도 해야 합니다.

      참고로 윈도우 보안 패치(시스템 트레이 하단 시계 옆의 노란색 방패를 통해 표시됩니다.)는 불법판 윈도우에서도 설치 가능합니다.

  • 2011.06.20 11:51 댓글주소 수정/삭제 댓글쓰기

    안녕하세요, 안그래도 메모리사용량이 급증하고해서 검색하다가 이리로 오게 되었는데요, 쓰신 내용 중에 서비스에 등록된 System Service 항목을 중지하라 하셨는데 그런 항목이 없네요.. 실행에서 services.msc해서 들어가는게 아닌가요? ..

    • 안녕하세요.

      만약 게시글의 서비스 항목이 없다면 해당 악성코드에 감염된 것은 아니며, 워낙 변종이 많아서 다른 악성코드일 수 있습니다.

      그리고 메모리 사용량이 높다고 이 악성코드에 감염되었다고 보기는 어렵습니다.

  • 2011.07.05 00:04 댓글주소 수정/삭제 댓글쓰기

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_*6E9D*56FA*BC11*C229*B969*86DF
    에서 맨뒤에
    _*6E9D*56FA*BC11*C229*B969*86DF 이런거랑
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\溝固밑숩륩蛟
    에서 맨뒤에 밑숩륩 이런거 없어요 ㅜ

    • 안녕하세요.

      해당 악성코드는 이전에 유포되던 방식이고, 아마 최근의 경우에는 유사하지만 일부 정보는 변경되었을 수도 있습니다.

      그래서 해당 글 내용과 다소 다를 수 있습니다.