태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009.08.24 12:34


이제는 네이트온(Nateon) 쪽지나 메신저로 유포되는 악성코드 기법이 너무 자연스러워져 가는게 아닌가 싶습니다.

악성코드 유포가 지속적으로 진행되고, 변종이 많아짐에 따라 더 많은 신경을 써야 할 것 같습니다.

이에 어떠한 방식을 통해서 악성코드가 유포되고 있는지 알고 있다면 예방하는데 큰 도움이 되지 않을까 싶네요.

자 그럼 최근에 발견되었던 하나의 사례를 보도록 해보지요.

악성코드 제작자(그룹)는 계속해서 새로운 내용으로 사용자분들을 현혹하고 있으므로, 각별히 주의하셔야 합니다.

자신의 네이트온 쪽지나 메신저로 이상한 URL(인터넷 주소) 링크가 포함된 내용이 수신되면 절대로 바로 클릭하지 마시기 바라고요.

사용자 삽입 이미지

혹시 클릭 후에 이상한 파일이 받아질려고 한다면 99.9% 악성코드라고 보시면 될 것 같습니다.
특히 한글을 같이 사용하고 있어 더욱 더 속지 말아야 합니다.

그 악성코드가 실행되고 감염되면 사용중인 네이트온 메신저의 계정이 외부로 유출될 수 있으며, 그에 따라 대화 상대에게 또 다시 악성코드 유포를 시도하는 경유지가 될 수도 있습니다.

해당 링크를 클릭하면 다음과 같이 그림 파일(JPG)이나 화면보호기(SCR)처럼 위장한 파일이 다운로드를 시도합니다.

사용자 삽입 이미지

해당 파일은 SFX RAR 형식인데, 이것은 RAR파일로 여러가지 파일을 압축한 다음에 WinRAR 프로그램이 없더라도 실행이 가능한 EXE 형태로 변경해 주는 것이라고 이해하시면 됩니다.

그래서 SCR 확장자를 EXE 로 변경하고 파일 속성을 보게 되면 다음과 같이 압축파일이라는 탭과 설명을 통해서 설치 과정을 볼 수 있습니다.

사용자 삽입 이미지

사용자 삽입 이미지

압축 파일 내부에 selted.exe, selten.exe, thunb.jpg 파일 3개가 포함된 것을 알 수 있으며, Silent=1 값을 통해서 사용자 몰래 Temp 폴더에 압축이 해제되고 실행되게 됩니다.

내부에 포함된 thunb.jpg 는 실행 시 해당 파일이 마치 그림파일이나 화면보호기 처럼 사용자가 인식하도록 하는 일종의 속임수용이라고 보시면 됩니다.

사용자 삽입 이미지

이후에 실행되는 EXE 파일 등에 의해서 시스템 폴더 등에 숨김 속성으로 다양한 DLL 과 드라이버폴더에 SYS 확장자의 악성코드가 설치됩니다.

DLL 파일 등에 의해서 네이트온 메신저 암호와 특정 온라인 게임들의 정보가 외부로 유출되는 피해가 발생할 수 있습니다.

Posted by viruslab
신종악성코드정보2009.08.24 09:59


주말을 포함해서 지난 주 부터 국내의 네이트온 사용자를 대상으로 한 국지성 악성코드 2개의 진단 현황을 한번 보도록 하겠습니다.

현재 이 시간 아래와 같이 유포가 진행 중에 있는 것입니다.

사용자 삽입 이미지

http://www.virustotal.com/analisis/9f613510f0243ca07503131cd55ec778f572662cb195d35c6a04deb7e986e2ec-1251075191

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.24 2009.08.23 Backdoor.Win32.ServU-based!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 -
Avast 4.8.1335.0 2009.08.23 Win32:Dogrobot
AVG 8.5.0.406 2009.08.23 Agent2.MCB.dropper
BitDefender 7.2 2009.08.24 Trojan.Generic.1956416
CAT-QuickHeal 10.00 2009.08.22 -
ClamAV 0.94.1 2009.08.23 -
Comodo 2074 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.MulDrop.32998
eSafe 7.0.17.0 2009.08.23 Suspicious File
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 -
F-Secure 8.0.14470.0 2009.08.24 Trojan.Win32.Agent.cuyz
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Trojan.Generic.1956416
Ikarus T3.1.1.68.0 2009.08.24 Backdoor.Win32.ServU-based
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.08.24 Trojan.Win32.Agent.cuyz
McAfee 5718 2009.08.23 Vundo!bq
McAfee+Artemis 5718 2009.08.23 Suspect-29!B77FEC0847A5
McAfee-GW-Edition 6.8.5 2009.08.23 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4903 2009.08.23 PWS:Win32/Jomloon.E
NOD32 4361 2009.08.23 probably a variant of Win32/Genetik
Norman 6.01.09 2009.08.21 W32/Obfuscated.A2!genr
nProtect 2009.1.8.0 2009.08.23 Trojan/W32.Agent.136186
Panda 10.0.0.14 2009.08.23 Trj/CI.A
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.50.00 2009.08.22 Packer.Win32.Agent.am
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 BehavesLike.Win32.Malware (v)
Symantec 1.4.4.12 2009.08.24 Infostealer.Gampass
TheHacker 6.3.4.3.386 2009.08.22 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1094 2009.08.22 -
VBA32 3.12.10.9 2009.08.23 Trojan-Dropper.Win32.Small.dlu
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 -
추가 정보
File size: 136186 bytes
MD5...: b77fec0847a5c9478da92fa2b101ebed

http://www.virustotal.com/analisis/2b7beb8599a811e85d6aba0a53a3016f7d0df79cfcff062f0e46c6dff5fb0fdc-1251075212

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.5.0.24 2009.08.23 Virus.Win32.Gamona!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 TR/PSW.Agent.nog.1
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Heuristic-KPP!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:JunkPoly
AVG 8.5.0.406 2009.08.23 Generic14.ABEI
BitDefender 7.2 2009.08.24 Trojan.Generic.1956416
CAT-QuickHeal 10.00 2009.08.22 -
ClamAV 0.94.1 2009.08.23 -
Comodo 2074 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 MULDROP.Trojan
eSafe 7.0.17.0 2009.08.23 Suspicious File
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Heuristic-KPP!Eldorado
F-Secure 8.0.14470.0 2009.08.24 -
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Trojan.Generic.1956416
Ikarus T3.1.1.68.0 2009.08.24 Virus.Win32.Gamona
Jiangmin 11.0.800 2009.08.23 Trojan/Agent.ctry
K7AntiVirus 7.10.825 2009.08.22 Trojan-PSW.Win32.Maran
Kaspersky 7.0.0.125 2009.08.24 Trojan-PSW.Win32.Agent.nog
McAfee 5718 2009.08.23 New Malware.bl
McAfee+Artemis 5718 2009.08.23 Suspect-29!81E027D45A0B
McAfee-GW-Edition 6.8.5 2009.08.23 Trojan.PSW.Agent.nog.1
Microsoft 1.4903 2009.08.23 VirTool:Win32/Obfuscator.GE
NOD32 4361 2009.08.23 a variant of Win32/Kryptik.NX
Norman 6.01.09 2009.08.21 W32/Obfuscated.A2!genr
nProtect 2009.1.8.0 2009.08.23 Trojan-PWS/W32.Agent.138038
Panda 10.0.0.14 2009.08.23 Trj/Downloader.MDW
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.50.00 2009.08.22 Packer.Win32.Agent.bd
Sophos 4.44.0 2009.08.24 Mal/Behav-066
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Infostealer.Gampass
TheHacker 6.3.4.3.386 2009.08.22 Trojan/OnLineGame.gen
TrendMicro 8.950.0.1094 2009.08.22 Cryp_Xed-3
VBA32 3.12.10.9 2009.08.23 BScope.Trojan.8171722
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 -
추가 정보
File size: 138038 bytes
MD5...: 81e027d45a0b1da7668a72bf11c2507a


Posted by viruslab