본문 바로가기

벌새::Analysis

네이트온(NateOn)을 통해 유포되는 악성코드

반응형
네이트온(NateOn) 메신저를 통해 모르는 사람 또는 감염된 등록자가 메신저 창을 통해 사진으로 위장한 링크를 배포하여 감염시키는 사례가 확인이 되었습니다.

[유포 링크]

hxxp://blog-naver.xxxxxxx.net
hxxp://blog-naver.xxxxxxx.net/?www.cyworld.com-image027.bmp
 - hxxp://gemecca.co.kr/upload/freeboard/xxxxxxxxxx/image027.scr?www.cyworld.com-image027.bmp
 - hxxp://gemecca.co.kr/upload/freeboard/xxxxxxxxxx/image027.scr



해당 링크에 접근을 하면 위와 같이 화면보호기 파일(scr) 확장자를 가진 파일을 다운로드하여 해당 파일이 실행될 경우 감염을 시키고 있습니다.

유포 경로는 국내에서 운영 중인 농업용 발전기, 양수기 판매 사이트로 특정 게시판에 파일이 업로드 된 것으로 추정됩니다.

감염된 컴퓨터는 다음과 같은 폴더 속에 악의적인 파일을 생성하고 있습니다.

%Temp%image027.jpg

화면보호기 파일을 설치시 위와 같이 중국 여자로 추정되는 그림 파일이 임시 폴더에 생성이 됩니다.

(사용자 계정)\Application Data\Microsoft\SystemCertificates\a.a
(사용자 계정)\Application Data\Microsoft\SystemCertificates\a.exe
(사용자 계정)\Application Data\Microsoft\SystemCertificates\der.exe

감염된 컴퓨터는 a.exe der.exe 프로세스가 생성되며, 시스템 과부하 현상이 일어납니다.

a.exe 파일은 화면보호기(image027.scr) 파일과 동일한 파일입니다.

특히 생성된 파일은 시스템, 숨김 속성을 가진 파일로 구성되어 있습니다.

해당 악성코드에 감염이 될 경우 다음과 같은 서비스 항목이 중지되는 것을 확인할 수 있습니다.

ALG(Application Layer Gateway Service)
 - %System%\alg.exe

SharedAccess(Windows Firewall/Internet Connection Sharing (ICS))
 - %System%\svchost.exe -k netsvcs

wscsvc(Security Center)
 - %System%\svchost.exe -k netsvcs

즉, 윈도우에서 제공하는 보안 센터 및 방화벽 기능이 중지되어 외부에서 추가적인 악성코드 또는 행위가 제약없이 일어날 수 있도록 하고 있습니다.

생성되는 레지스트리 값을 확인해 보겠습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
 - (Default) = "@SYS:DoesNotExist"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ALYac_PZSrv
 - Start = 0x00000004
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc
 - Start = 0x00000004
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npkcmsvc
 - Start = 0x00000004
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDefend
 - Start = 0x00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALYac_PZSrv
 - Start = 0x00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc
 - Start = 0x00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npkcmsvc
 - Start = 0x00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
 - Start = 0x00000004
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 0x00000000

생성되는 항목 중 알약(ALYac_PZSrv), nProtect 관련 항목을 보아 국내 보안제품을 노리는 것을 확인할 수 있습니다.

그만큼 국내 개인 사용자들의 알약 사용자층이 두껍게 구성되어 있다는 점을 충분히 이용하는 것으로 추정이 됩니다.

[image027.scr]

Antivirus Version Last Update Result
a-squared 4.0.0.93 2009.02.15 -
AhnLab-V3 5.0.0.2 2009.02.14 -
AntiVir 7.9.0.79 2009.02.13 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.02.14 -
Avast 4.8.1335.0 2009.02.14 -
AVG 8.0.0.237 2009.02.14 -
BitDefender 7.2 2009.02.15 -
CAT-QuickHeal 10.00 2009.02.13 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.02.15 -
Comodo 977 2009.02.14 -
DrWeb 4.44.0.09170 2009.02.15 -
eSafe 7.0.17.0 2009.02.12 -
eTrust-Vet 31.6.6358 2009.02.14 -
F-Prot 4.4.4.56 2009.02.14 -
F-Secure 8.0.14470.0 2009.02.15 -
Fortinet 3.117.0.0 2009.02.14 -
GData 19 2009.02.15 -
Ikarus T3.1.1.45.0 2009.02.15 -
K7AntiVirus 7.10.630 2009.02.14 -
Kaspersky 7.0.0.125 2009.02.15 -
McAfee 5526 2009.02.14 -
McAfee+Artemis 5526 2009.02.14 -
Microsoft 1.4306 2009.02.15 -
NOD32 3853 2009.02.14 probably unknown NewHeur_PE
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.15 -
Panda 10.0.0.10 2009.02.14 -
PCTools 4.4.2.0 2009.02.14 -
Prevx1 V2 2009.02.15 -
Rising 21.16.61.00 2009.02.15 -
SecureWeb-Gateway 6.7.6 2009.02.15 Trojan.Crypt.XPACK.Gen
Sophos 4.38.0 2009.02.15 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.15 -
TheHacker 6.3.2.1.257 2009.02.15 -
TrendMicro 8.700.0.1004 2009.02.14 -
VBA32 3.12.8.12 2009.02.15 -
ViRobot 2009.2.14.1607 2009.02.15 -
VirusBuster 4.5.11.0 2009.02.14 -
Additional information
File size: 331776 bytes

현재 국내외 보안제품에서 전혀 진단하지 못하고 있으며, 생성파일에 대해서도 동일한 진단을 하므로 감염되지 않도록 주의하시기 바랍니다.

해당 악성코드에 감염이 되면 특정 포트를 오픈하여 추가적인 정보 유출 등의 우려가 있는 것으로 추정이 됩니다. 이 부분은 보안 전문가들이 분석할 부분이고, 제 능력 밖의 일입니다.

메신저에서 친구를 맺은 관계일지라도 수상한 링크를 제공하면서 접근하도록 할 때에는 되도록이면 클릭하지 않는 것이 안전하므로 주의하시기 바랍니다.


728x90
반응형
  • 좋은 정보잘보고가요 . ^^

  • 메신저로 오는 파일은 일단 거부하고 보는 1人 ,;;;

  • 중국여자 눈 참 큰 것이 미녀 스타일입니다 . 죄송합니다 _ _

  • 오늘보니 용량 큰 것으로 변경되어 유포되고 있는 것 같습니다.

  • 간지남 2009.02.17 01:36 댓글주소 수정/삭제 댓글쓰기

    이거 치료는 어케하나욤..? ㅠㅠ

  • 간지남 2009.02.17 01:36 댓글주소 수정/삭제 댓글쓰기

    전 이미 이거 걸렷어욤 ㅠㅠ 알려주세욤 미치겟음 ㅠ

    • 현재 국내 보안제품에서 해당 악성코드를 진단 및 치료를 하고 있습니다.

      변종까지 나온 것으로 알고 있기에 반드시 보안 제품으로 시스템 전체 검사를 하시고 치료하시기 바랍니다.

      V3, nProtect, 하우리 제품 등으로 검사를 해 보시면 됩니다.

  • 간지남 2009.02.17 14:39 댓글주소 수정/삭제 댓글쓰기

    백신프로그램 자체가 설치도 안되고 실행도안되염..

    진단을 할려고해도 머 할수가업어여.. 왼만한 백신 다안대염 ㅠㅠ

  • 간지남 2009.02.17 14:55 댓글주소 수정/삭제 댓글쓰기

    설치하는도중에 경고창뜨면서 설치마무리되는대요

    실행하려고하면 연결되는 파일이없다면서 파일찾아보기 되어잇고..

    설치도 안되서 제대로된 검사도 못하고잇어요 ㅠㅠ

  • 간지남 2009.02.17 14:56 댓글주소 수정/삭제 댓글쓰기

    어떤 보안업체로...?

    • 사용하시는 제품이 어디껀지 모르겠지만, 그 제품 업체에 원격을 요청해 보시는건 어떠신지요?

  • 간지남 2009.02.17 16:52 댓글주소 수정/삭제 댓글쓰기

    흠.. 컴퓨터 회사한테 받아보라는 말씀인가염..?

    • 현재 질문하신 분이 사용하시는 보안제품 업체에 문의하시는 것이 더 빠른 해결책을 찾을 수 있다는 것입니다.

      알약을 사용하고 계시다면 알약에 문의하시라는 것입니다.

  • 2009.03.02 00:54 댓글주소 수정/삭제 댓글쓰기

    마음에 드는 신형입니다.
    주소나 파일구할수 있는지요
    신형바이러스 신고 하는 버릇이 있어서
    요즘 신형유포주소가 많이 죽어서

  • 2009.03.02 01:28 댓글주소 수정/삭제 댓글쓰기

    그럼 바이로봇(하우리)처럼 미진단 회사에도 신고좀 해주세요
    전 카스퍼스키랑 v3 바이로봇 마소(원도우 디펜더)에 신고는 하는데
    샘플이 없으니
    부탁드리네요

    ahnlab신고처

    http://kr.ahnlab.com/info/customer/virus_call_activex.jsp

    하우리
    http://www.hauri.co.kr/support/service/virus_reg.html?menu=QzM=

    마소

    https://www.microsoft.com/security/portal/submit.aspx

    카스퍼스키는 3개중에 하나
    편한걸로
    newvirus@kaspersky.com
    support@kaspersky.co.kr
    newvirus@kaspersky.co.kr

    나중에 시간 나실때 암호 넣고 암축해서
    보내면 고맙겠습니다.