태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.08.02 13:48


네이트온 쪽지 악성코드 내용 보기
네이온 쪽지를 통한 악성코드 전파 기법
viruslab.tistory.com

네이트온 쪽지에 악의적인 도메인 URL 을 배포하는 악성코드가 추가로 발견되었습니다.

사용자 삽입 이미지

bngkco.exe 파일은 다음과 같은 아이콘을 가지고 있으며, 샌드박스 모듈 처럼 위장하고 있습니다.

사용자 삽입 이미지

악성코드가 실행되면 시스템 폴더에 FuCk3v.dll, m_user.dll, x_com.dll 등이 생성되며, 시스템 폴더에 존재하는 정상적인 comres.dll 파일을 감염(교체)시킵니다.

이번에는 실행해도 특별히 그림 파일이 보여지지는 않습니다.

x_com.dll 은 정상적인 comres.dll 파일입니다.

사용자 삽입 이미지

위에 보면 화면상에 comres.dll 파일 버전이 x_com.dll 과 동일하지만 실제로는 다른 파일로 이미 교체된 상태입니다. Shell 때문에 기존 comres.dll 속성이 보여지는 것이지요.

FuCk3v.dll 파일은 중국의 Rising 제품의 모듈 처럼 저작권을 허위로 보유하고 있습니다.



Posted by viruslab
신종악성코드정보2010.06.28 10:30


최근 주말마다 네이트온 쪽지와 메신저로 악성 코드 유포가 끊임없이 보고되고 있습니다.

감염되시는 분들이 아직도 꽤 많은 것 같아 관련된 내용을 정리해 봅니다.

네이트온(NateOn) 쪽지 등을 통해서 악성코드가 포함된 URL 주소를 대화 상대자들에게 전파하는 형태가 지속적으로 등장하고 있어 네이트온 사용자들의 각별한 주의가 요구되고 있다.

이와 관련하여 "네이트온"에서는 쪽지함에 다음과 같은 주의 문구를 삽입하여 사용자들이 실수로 악성코드에 노출되지 않도록 도와주고 있다.

"쪽지를 통해 전송되는 확인되지 않은 URL은 클릭 시 악성 프로그램이 설치될 수 있으므로 주의하시기 바랍니다."

사용자 삽입 이미지

메신저 대화 상대로 등록된 여러 사람들에게 악성코드 URL 주소가 포함된 내용을 전송하며, 쪽지를 받은 사용자가 해당 내용에 포함된 URL 주소를 클릭하도록 유도하여 악성코드에 감염되도록 만든다.


최근까지 다양한 형태의 변종들이 지속적으로 유포되고 있기 때문에 대화 상대로 등록된 사람이 보낸 내용일 경우라도 정확히 알 수 없는 URL 주소 등이 포함되어 있다면 클릭하기 전 각별히 주의하는 것이 필요하다.

무심코 URL 주소를 클릭하게 되면 다음과 같이 악성코드 다운로드가 시도되며, 다양한 파일명 등을 사용하여 사용자들을 현혹시키고 있다.

특히, 그림 파일(.JPG)이나 화면보호기(.SCR) 등으로 위장한 형태가 많이 발견되고 있으며, 아이콘은 폴더처럼 위장하고 있는 경우가 많아 사용자가 폴더로 잘못 인식하고 더블 클릭하여 직접 실행하는 경우가 있어 조심해야 한다.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

악성코드가 실행이 되면 사용자의 관심을 돌리거나, 마치 정상 파일처럼 속이기 위해서 다음과 같은 그림 파일 등을 보여준다.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

사용자 삽입 이미지

그림 파일이 보여지는 순간 해당 사용자의 컴퓨터에는 악성코드가 같이 설치되며, 국내외 유명 온라인 게임 사용자의 계정 탈취 기능을 수행하게 되며, 네이트온 메신저 계정 등이 외부로 유출될 수 있다.

더불어 쪽지를 발송한 사용자의 경우는 자신도 모르게 악성코드 유포자로 악용된 경우라 할 수 있으며, 자신의 정보가 불법적으로 도용되었을 가능성이 매우 높으므로, 서둘러서 네이트온 암호를 변경하고 대화 상대자들에게 해당 내용을 신속하게 알려주어 2차 악성코드 감염 피해를 최소화하여야 한다.



Posted by viruslab
신종악성코드정보2010.06.28 09:56


주말동안 유포된 네이트온 쪽지(메신저) 악성코드입니다.

특정 URL 주소를 클릭하면 또 다른 도메인에서 다음과 같은 파일을 다운로드 합니다.
사용자 삽입 이미지
사용자 삽입 이미지

sjadhuo.exe 파일은 폴더 아이콘을 하고 있어 사용자의 오클릭을 유도합니다.
사용자 삽입 이미지

RAR SFX 로 압축되어 있으며, 내부에는 ldfhu.jpg 와 nsjhd.exe 파일이 포함되어 있습니다.

sjadhuo.exe 파일이 실행되면 자동으로 압축이 해제되면서 ldfhu.jpg 그림 파일을 보여주어 사용자로 하여금 악성코드가 실행된 것을 눈치채지 못하도록 합니다.

사용자 삽입 이미지

http://www.virustotal.com/analisis/b5ffa9d7c262e3492857548cdea5c11112f2a05bdbfff3dc996b41f7aca4e8d0-1277682534



Posted by viruslab
신종악성코드정보2009.08.24 12:34


이제는 네이트온(Nateon) 쪽지나 메신저로 유포되는 악성코드 기법이 너무 자연스러워져 가는게 아닌가 싶습니다.

악성코드 유포가 지속적으로 진행되고, 변종이 많아짐에 따라 더 많은 신경을 써야 할 것 같습니다.

이에 어떠한 방식을 통해서 악성코드가 유포되고 있는지 알고 있다면 예방하는데 큰 도움이 되지 않을까 싶네요.

자 그럼 최근에 발견되었던 하나의 사례를 보도록 해보지요.

악성코드 제작자(그룹)는 계속해서 새로운 내용으로 사용자분들을 현혹하고 있으므로, 각별히 주의하셔야 합니다.

자신의 네이트온 쪽지나 메신저로 이상한 URL(인터넷 주소) 링크가 포함된 내용이 수신되면 절대로 바로 클릭하지 마시기 바라고요.

사용자 삽입 이미지

혹시 클릭 후에 이상한 파일이 받아질려고 한다면 99.9% 악성코드라고 보시면 될 것 같습니다.
특히 한글을 같이 사용하고 있어 더욱 더 속지 말아야 합니다.

그 악성코드가 실행되고 감염되면 사용중인 네이트온 메신저의 계정이 외부로 유출될 수 있으며, 그에 따라 대화 상대에게 또 다시 악성코드 유포를 시도하는 경유지가 될 수도 있습니다.

해당 링크를 클릭하면 다음과 같이 그림 파일(JPG)이나 화면보호기(SCR)처럼 위장한 파일이 다운로드를 시도합니다.

사용자 삽입 이미지

해당 파일은 SFX RAR 형식인데, 이것은 RAR파일로 여러가지 파일을 압축한 다음에 WinRAR 프로그램이 없더라도 실행이 가능한 EXE 형태로 변경해 주는 것이라고 이해하시면 됩니다.

그래서 SCR 확장자를 EXE 로 변경하고 파일 속성을 보게 되면 다음과 같이 압축파일이라는 탭과 설명을 통해서 설치 과정을 볼 수 있습니다.

사용자 삽입 이미지

사용자 삽입 이미지

압축 파일 내부에 selted.exe, selten.exe, thunb.jpg 파일 3개가 포함된 것을 알 수 있으며, Silent=1 값을 통해서 사용자 몰래 Temp 폴더에 압축이 해제되고 실행되게 됩니다.

내부에 포함된 thunb.jpg 는 실행 시 해당 파일이 마치 그림파일이나 화면보호기 처럼 사용자가 인식하도록 하는 일종의 속임수용이라고 보시면 됩니다.

사용자 삽입 이미지

이후에 실행되는 EXE 파일 등에 의해서 시스템 폴더 등에 숨김 속성으로 다양한 DLL 과 드라이버폴더에 SYS 확장자의 악성코드가 설치됩니다.

DLL 파일 등에 의해서 네이트온 메신저 암호와 특정 온라인 게임들의 정보가 외부로 유출되는 피해가 발생할 수 있습니다.

Posted by viruslab
보안관련소식2009.08.21 14:40


조금 전 지인분을 통해서 네이트온(쪽지) 악성코드 링크를 하나 전달 받았다.

네이트온에서는 이러한 악성코드가 유행처럼 번지면서 URL 링크를 검사하는 기능을 제공하고 있다.

그래서 효과가 있는지 테스트해 보았다.

다만 악성 URL 을 네이트온에 신고해야지만 차단이 가능한 것이며, 그렇기 때문에 악성코드 제작자는 지속적으로 동적 DNS 를 이용해서 도메인 변종을 통해서 유포시키고 있는 것으로 알려져 있다.

결국 창과 방패의 싸움이 되겠네요.

사용자 삽입 이미지

사용자 삽입 이미지

결론적으로 현재 유포되고 있는 악성코드는 차단하지 못했다는 안타까운 소식을 전해드립니다.



Posted by viruslab
신종악성코드정보2009.07.15 08:55


기존에는 jpg.scr 로 유포가 진행되었기 때문에 관련 도메인을 지속적으로 관제하고 있었습니다. 하지만 최근에 거의 발견되지 않았지요.

그러던 중 지인분의 신고로 새롭게 유포되는 곳이 접수되었는데 gif.scr 로 변경이 되었네요. 제작(유포)자에게 당한 기분이네요.

사용자 삽입 이미지

실행되면 다음과 같은 그림파일이 보여집니다.

사용자 삽입 이미지


 

Posted by viruslab
신종악성코드정보2009.05.26 18:14


네이트온 쪽지로 악성코드가 지속적으로 유포되고 있는 가운데, 쪽지에 포함된 URL 주소가 추가로 발견되었다.

사용자 삽입 이미지

이번에 발견된 URL 주소를 통해서 유포되는 악성코드 파일은 아직까지 기존과 동일하다.


다양한 도메인 주소를 통해서 유포를 시도하는 것으로 추정된다.

추적결과 악성코드가 존재하는 서버는 동일하다.

피해 사례




Posted by viruslab
신종악성코드정보2009.05.25 10:04


계속해서 변종이 유포되고 있으며, 네이트온 메신저 사용자들의 계정 정보 수집도 지속되고 있다.

관련 분석 정보
http://viruslab.tistory.com/698

nProtect Anti-Virus (AVS2007) 제품에 진단/치료 기능이 추가된 상태이며, 변종 유포를 지속적으로 모니터링하여 업데이트에 포함시키고 있다.

국내 사용자를 Target 으로 한 국지적인 악성코드이기 때문에 각별한 주의도 필요하다.

http://www.nprotect.com/index.html
http://avs.nprotect.net/tsp/package/b2b/nProtectVS2007.exe

사용자 삽입 이미지

http://www.virustotal.com/analisis/67b0961d244ac3cd716500555e03a718e1db1e973d54e84713772a61ce7c26d1-1243154474

Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.05.24 Trojan-PWS.Win32.OnLineGames!IK
AhnLab-V3 5.0.0.2 2009.05.23 -
AntiVir 7.9.0.168 2009.05.23 TR/Downloader.Gen
Antiy-AVL 2.0.3.1 2009.05.22 -
Authentium 5.1.2.4 2009.05.23 -
Avast 4.8.1335.0 2009.05.23 Win32:QQPass-RX
AVG 8.5.0.339 2009.05.23 Win32/Cryptor
BitDefender 7.2 2009.05.24 MemScan:Trojan.PWS.YKC
CAT-QuickHeal 10.00 2009.05.23 -
ClamAV 0.94.1 2009.05.24 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.24 -
eSafe 7.0.17.0 2009.05.21 Suspicious File
eTrust-Vet 31.6.6519 2009.05.23 -
F-Prot 4.4.4.56 2009.05.23 -
F-Secure 8.0.14470.0 2009.05.23 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2009.05.23 W32/DllHook.A
GData 19 2009.05.24 MemScan:Trojan.PWS.YKC
Ikarus T3.1.1.49.0 2009.05.24 Trojan-PWS.Win32.OnLineGames
K7AntiVirus 7.10.741 2009.05.21 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.05.24 -
McAfee 5624 2009.05.23 -
McAfee+Artemis 5624 2009.05.23 Artemis!4B7D87DC8F3B
McAfee-GW-Edition 6.7.6 2009.05.24 Win32.Malware.gen!80 (suspicious)
Microsoft 1.4701 2009.05.24 PWS:Win32/Kotwir.A.dll
NOD32 4098 2009.05.22 a variant of Win32/Kryptik.NX
Norman 6.01.05 2009.05.22 -
nProtect 2009.1.8.0 2009.05.24 Trojan/W32.Agent.168397
Panda 10.0.0.14 2009.05.23 Trj/QQPass.AZS
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.24 Medium Risk Malware
Rising 21.30.61.00 2009.05.24 Dropper.Win32.Mnless.GEN [Suspicious]
Sophos 4.42.0 2009.05.24 Mal/DllHook-A
Sunbelt 3.2.1858.2 2009.05.24 PWS-Win32/Kotwir.A.dll
Symantec 1.4.4.12 2009.05.24 Infostealer.Gampass
TheHacker 6.3.4.3.331 2009.05.22 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1092 2009.05.23 PAK_Generic.001
VBA32 3.12.10.5 2009.05.24 -
ViRobot 2009.5.23.1749 2009.05.23 -
VirusBuster 4.6.5.0 2009.05.23 -
Additional information
File size: 168397 bytes
MD5   : 52c9958915ec15eb0965f26824be88ad
SHA1  : e29996da5f96287f9a1bf0203b57bbca86f22767
SHA256: 67b0961d244ac3cd716500555e03a718e1db1e973d54e84713772a61ce7c26d1



Posted by viruslab