3월 들어서 네이트온(NateOn) 메신저를 통해 악성코드가 또 다시 유포되고 있는 것으로 확인이 되었습니다.
[유포 경로]
hxxp://blog.podxxxx.net/
hxxp://blog.podxxxx.net/photo/39004496967/smile.bmp
- hxxp://www.mediguide.co.kr/xxxxx/file/f.html
- hxxp://www.mediguide.co.kr/xxxxx/file/f.html/photo/39004496967/smile.bmp
-> hxxp://pds13.egloos.com/pds/xxxxxx/24/69/sorry.jpg
->> hxxp://pds12.egloos.com/pds/xxxxxx/02/69/smile.scr
hxxp://blog.podxxxx.net/
hxxp://blog.podxxxx.net/photo/39004496967/smile.bmp
- hxxp://www.mediguide.co.kr/xxxxx/file/f.html
- hxxp://www.mediguide.co.kr/xxxxx/file/f.html/photo/39004496967/smile.bmp
-> hxxp://pds13.egloos.com/pds/xxxxxx/24/69/sorry.jpg
->> hxxp://pds12.egloos.com/pds/xxxxxx/02/69/smile.scr
이번 악성코드의 최종적인 파일 단위 다운로드 유포지가 이글루스 블로그에 업로드된 파일인 점이 특이합니다. 확실히 SK Communications의 서비스를 잘 활용하고 있다고 보여집니다.
[악성코드 설치 경로]
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\SystemCertificates\PSTO
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\SystemCertificates\PSTO
해당 악성코드에 감염된 경우 트래픽이 상승하여 인터넷 속도 저하 및 시스템 속도 저하 등을 겪을 수 있으며, 개인 정보 등 공격자가 원하는 정보를 탈취 당할 가능성이 높습니다.
[VirusTotal 진단 상황]
| Antivirus | Version | Last Update | Result |
| a-squared | 4.0.0.101 | 2009.03.02 | - |
| AhnLab-V3 | 5.0.0.2 | 2009.02.27 | - |
| AntiVir | 7.9.0.98 | 2009.03.01 | TR/Crypt.XPACK.Gen |
| Authentium | 5.1.0.4 | 2009.03.01 | - |
| Avast | 4.8.1335.0 | 2009.03.01 | - |
| AVG | 8.0.0.237 | 2009.03.01 | - |
| BitDefender | 7.2 | 2009.03.02 | - |
| CAT-QuickHeal | 10.00 | 2009.03.02 | - |
| ClamAV | 0.94.1 | 2009.03.02 | - |
| Comodo | 986 | 2009.02.20 | - |
| DrWeb | 4.44.0.09170 | 2009.03.02 | - |
| eSafe | 7.0.17.0 | 2009.02.26 | - |
| eTrust-Vet | 31.6.6379 | 2009.03.02 | - |
| F-Prot | 4.4.4.56 | 2009.03.01 | - |
| F-Secure | 8.0.14470.0 | 2009.03.01 | Suspicious:W32/Malware!Gemini |
| Fortinet | 3.117.0.0 | 2009.03.02 | - |
| GData | 19 | 2009.03.02 | - |
| Ikarus | T3.1.1.45.0 | 2009.03.02 | - |
| K7AntiVirus | 7.10.649 | 2009.02.27 | - |
| Kaspersky | 7.0.0.125 | 2009.03.02 | - |
| McAfee | 5540 | 2009.03.01 | - |
| McAfee+Artemis | 5540 | 2009.03.01 | Generic!Artemis |
| Microsoft | 1.4306 | 2009.03.01 | - |
| NOD32 | 3899 | 2009.03.02 | probably a variant of Win32/Packed.Themida |
| Norman | 6.00.06 | 2009.02.27 | - |
| nProtect | 2009.1.8.0 | 2009.03.02 | - |
| Panda | 10.0.0.10 | 2009.03.01 | - |
| PCTools | 4.4.2.0 | 2009.03.01 | - |
| Prevx1 | V2 | 2009.03.02 | - |
| Rising | 21.19.00.00 | 2009.03.02 | - |
| SecureWeb-Gateway | 6.7.6 | 2009.03.02 | Trojan.Crypt.XPACK.Gen |
| Sophos | 4.39.0 | 2009.03.02 | - |
| Sunbelt | 3.2.1858.2 | 2009.02.28 | - |
| Symantec | 10 | 2009.03.02 | - |
| TheHacker | 6.3.2.6.268 | 2009.03.01 | - |
| TrendMicro | 8.700.0.1004 | 2009.03.02 | - |
| VBA32 | 3.12.10.1 | 2009.03.01 | - |
| ViRobot | 2009.2.28.1629 | 2009.03.02 | - |
| VirusBuster | 4.5.11.0 | 2009.03.01 | - |
| Additional information | |||
| File size: 1462272 bytes | |||
| MD5...: 207471e6ab3d9b642f06cc6e4adfaf47 | |||
| SHA1..: 43b0307abd1b3050fd139c3aeed6213001f83a57 | |||
해당 악성코드에 대한 국내외 보안제품이 거의 진단하지 못하는 상태이므로 네이트온 메신저를 통해 친구 관계를 맺은 사이라도 신뢰할 수 없는 수상한 링크를 제공하며, 사진을 보라는 메시지를 보낼 경우에는 절대로 클릭하는 일이 없도록 하시기 바랍니다.
'벌새::Analysis' 카테고리의 다른 글
| 적립금 프로그램 - 프리챌 플러스바 (Freechal Plusbar) (2) | 2009.03.03 |
|---|---|
| 명의도용 확인 프로그램 - 체크온 아이디 (Check on ID) (1) | 2009.03.02 |
| 네이트온(NateOn) 메신저 악성코드 - smile.scr (12) | 2009.03.02 |
| 중국 사이트 팝업이 생성되는 다이어트 사이트 (1) | 2009.03.01 |
| 하우리의 PCFree 진단 - Adware.PCFree.Do.5415696 (2009-02-24.01) (11) | 2009.02.25 |
| 적립금 프로그램 : KCPoint (2) | 2009.02.24 |
울지않는 벌새
울지않는벌새가 되고 싶은 나..
