본문 바로가기

벌새::Analysis

네이트온(NateOn) 메신저 악성코드 - smile.scr

반응형

3월 들어서
네이트온(NateOn) 메신저를 통해 악성코드가 또 다시 유포되고 있는 것으로 확인이 되었습니다.

[유포 경로]

hxxp://blog.podxxxx.net/
hxxp://blog.podxxxx.net/photo/39004496967/smile.bmp
 - hxxp://www.mediguide.co.kr/xxxxx/file/f.html
 - hxxp://www.mediguide.co.kr/xxxxx/file/f.html/photo/39004496967/smile.bmp
  -> hxxp://pds13.egloos.com/pds/xxxxxx/24/69/sorry.jpg
   ->> hxxp://pds12.egloos.com/pds/xxxxxx/02/69/smile.scr

이번 악성코드의 최종적인 파일 단위 다운로드 유포지가 이글루스 블로그에 업로드된 파일인 점이 특이합니다. 확실히 SK Communications의 서비스를 잘 활용하고 있다고 보여집니다.

또 하나의 특징은 해당 유포 사이트에 접속을 할 경우 안철수연구소 사이트가드(SiteGuard) 사진 파일을 통해 마치 안전한 것처럼 위장을 하고 있습니다. 실제 해당 사이트가드의 접속 사이트는 이 역시 SK의 싸이월드(Cyworld)를 표시하고 있습니다.

최종적으로 다운로드 되는 화면 보호기 파일(smile.scr) 파일은 이글루스에 업로드된 파일임을 확인할 수 있습니다.

또 다른 유포 경로 중의 하나는 의료 관련 컨설팅 웹 사이트 메디가이드를 통해 중간 매체로 활용되고 있는 것으로 보입니다.

다운로드된 화면 보호기를 실행할 경우 위와 같은 중국 여자로 추정되는 사진 파일이 생성이 되고 나머지 파일들은 다음의 경로에 몰래 설치가 되고 있습니다.

[악성코드 설치 경로]

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\SystemCertificates\PSTO

설치된 파일 중 일부는 시스템, 숨김 속성을 가지고 있으므로 폴더 옵션의 숨김 파일 표시를 하여도 실제 해당 폴더에서 보이지 않습니다.


설치가 완료된 악성코드는 위와 같이 csrss.exe / winlogon.exe 프로세스를 생성하여 외부의 특정 포트를 열어 명령을 기다리는 것으로 보입니다.

 해당 서버는 중국, 대만, 영국, 대한민국 등 다양하게 퍼져 있지만 해당 악성코드의 유포지는 중국으로 추정이 됩니다.

해당 악성코드에 감염된 경우 트래픽이 상승하여 인터넷 속도 저하 및 시스템 속도 저하 등을 겪을 수 있으며, 개인 정보 등 공격자가 원하는 정보를 탈취 당할 가능성이 높습니다.

[VirusTotal 진단 상황]

Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.03.02 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.03.01 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.03.01 -
Avast 4.8.1335.0 2009.03.01 -
AVG 8.0.0.237 2009.03.01 -
BitDefender 7.2 2009.03.02 -
CAT-QuickHeal 10.00 2009.03.02 -
ClamAV 0.94.1 2009.03.02 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.03.02 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6379 2009.03.02 -
F-Prot 4.4.4.56 2009.03.01 -
F-Secure 8.0.14470.0 2009.03.01 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2009.03.02 -
GData 19 2009.03.02 -
Ikarus T3.1.1.45.0 2009.03.02 -
K7AntiVirus 7.10.649 2009.02.27 -
Kaspersky 7.0.0.125 2009.03.02 -
McAfee 5540 2009.03.01 -
McAfee+Artemis 5540 2009.03.01 Generic!Artemis
Microsoft 1.4306 2009.03.01 -
NOD32 3899 2009.03.02 probably a variant of Win32/Packed.Themida
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.03.02 -
Panda 10.0.0.10 2009.03.01 -
PCTools 4.4.2.0 2009.03.01 -
Prevx1 V2 2009.03.02 -
Rising 21.19.00.00 2009.03.02 -
SecureWeb-Gateway 6.7.6 2009.03.02 Trojan.Crypt.XPACK.Gen
Sophos 4.39.0 2009.03.02 -
Sunbelt 3.2.1858.2 2009.02.28 -
Symantec 10 2009.03.02 -
TheHacker 6.3.2.6.268 2009.03.01 -
TrendMicro 8.700.0.1004 2009.03.02 -
VBA32 3.12.10.1 2009.03.01 -
ViRobot 2009.2.28.1629 2009.03.02 -
VirusBuster 4.5.11.0 2009.03.01 -
Additional information
File size: 1462272 bytes
MD5...: 207471e6ab3d9b642f06cc6e4adfaf47
SHA1..: 43b0307abd1b3050fd139c3aeed6213001f83a57


해당 악성코드에 대한 국내외 보안제품이 거의 진단하지 못하는 상태이므로 네이트온 메신저를 통해 친구 관계를 맺은 사이라도 신뢰할 수 없는 수상한 링크를 제공하며, 사진을 보라는 메시지를 보낼 경우에는 절대로 클릭하는 일이 없도록 하시기 바랍니다.


728x90
반응형
  • ㅠㅠ 바로저요 ㅠㅠ

  • 이병관 2009.03.02 18:24 댓글주소 수정/삭제 댓글쓰기

    이거 어떻게 치료가능한지... 자세히좀 설명 해주세요

    • 해당 샘플을 신고하여 현재 시간 안철수연구소 보안제품에서 진단 및 치료를 지원하고 있습니다.

      V3 Lite 제품을 이용하여 시스템 전체 검사를 통한 치료를 해 보시기 바랍니다.

  • 저기 2009.03.02 18:55 댓글주소 수정/삭제 댓글쓰기

    해결방법은없나요??

  • 타이키 2009.03.03 04:06 댓글주소 수정/삭제 댓글쓰기

    와 진짜 미치겠다 이것때문에 ㅠㅠ~

    방법 좀 찾아주세요~ 와~ 진짜 ㅠㅠ~

  • 타이키 2009.03.03 05:41 댓글주소 수정/삭제 댓글쓰기

    와 이거 진짜 사람 미치게 만드네요..
    v3 lite 로 치료하려고 설치하는데 설치도 안되는듯..
    업데이트가 안되니 엔진도 못받고 바로가기도 오류나고 와~ 진짜~
    알약도 안되고 다른것도 다 안됨~
    컴터 포멧하면 될까요?? 와~ 진짜 미쳐버리겠네 ㅠㅠ

  • 다음 업데이트에 추가할 수 있도록 조치해 두었습니다.

  • 빌리 2009.03.03 10:53 댓글주소 수정/삭제 댓글쓰기

    도와주세요ㅜㅜ
    이거진짜 사람을 미치게합니다.
    알약 D드라이브같은데에 깔면 바로가기 오류안나고 깔립니다.
    대신 업데이트를 못받아서 DB는 업데이트가 안되어있죠.
    그래서 수동받으려고가면 페이지오류가 뜹니다.
    그러니깐 알약을 겨우깔아서 치료해도 다시 바이러스에 걸려있죠...
    V3Lite 이자식은 더욱 문제입니다.
    겨우 깔았는데 업데이트를 못받으니깐 아예 정밀검사를 할 수가 없더군요?
    지금 알약수동패치 겨우받아서 하고 다시 검사하니깐,
    패치하기전에 안잡히던게 잡히더군요.
    만약에 이거 해결하면 제가 해결책으로 올려놓겠습니다.

  • 빌리 2009.03.03 12:23 댓글주소 수정/삭제 댓글쓰기

    해결했습니다.
    아직도 이 문제로 인해 고통받는 분이 계시면,
    wolfxxxxxxxx@naver.com
    연락주세요.
    파일보내드리겠습니다~^^

  • 타이키 2009.03.03 12:51 댓글주소 수정/삭제 댓글쓰기

    빌리님 메일은 드렸는데 저 주소가 맞는건지 불안해서요
    저 좀 도와주세요 young_gunz@naver.com 입니다~

    • http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3fileclean.exe

      전용백신을 이용하여 치료해 보시기 바랍니다.

      자세한 내용 : http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1

  • 아래 전용 백신으로 해결해 보세요.
    http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1