---------------------------------------------------------------------------------

네이트온에 접속해 있을경우, 이런 쪽지를 받을 경우가 있습니다.

 이렇게 ** 하는 담을 가졌어!  www.shenkr**.com

등 과 같은 수상한 쪽지가 옵니다.

이로보아, 국내 메신저인 네이트온(NateON)을 통해 왕성하게 유포중인 악성코드로 보입니다.

 

악성코드의 유포 경로를 보게된다면,

 [악성코드 유포 경로]

h**p://www.zip*****.com/
h**p://www.ayuorn***.com/love/see.scr

 

 

저런 주소에 들어가게된다면,

다운로드 창이 뜨게됩니다.





이러한 see.scr 이란 화면 보호기 파일을 다운로드 하게되는데요.

요즘 백신은 이제 거의다 잡더군요. 백신 꼭 켜두세욤

다운받으면





요로케 생겼는데요.

분석해 내부 파일을 보게 되시면,





해당 see.scr 파일 내부에는 [love.exe / naer.exe / pp.jpg] 파일로 압축되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 외부 네트워크와 연결하여 악성코드를 다운로드하여 설치합니다.

 


[pp.jpg]

 

하지만 이 악성코드는 이 귀여운 강아지 사진으로 위장하고 있기때문에,

사용자들은 악성코드로 인식하기가 어렵습니다.

 

 

 


see.scr(MD5 : 5e9ee516050895571de0cdbf45a386e8)

 

바이러스 토탈에 스캔해본 결과 이러한 결과가 나왔습니다.

안철수연구소(AhnLab) 의 V3 에선 Win-Trojan/OnlineGameHack.137517 으로 진단하고 있습니다.

이 악성코드는 온라인 게임 계정 탈취 목적으로 제작되었다고 볼 수 있겠네요.

 

만약 이 악성코드에 감염되게 되면,

 [시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 -
AAAA = C:\WINDOWS\system32\hf0008.exe

이렇게 레지스터에 등록되므로, 부팅시에 자동 실행 되게 되어있습니다.

그리고

 C:\Windows\System32\_pz_hf0008.dll

 C:\Windows\System32\hf0008.dll

등의 파일이 생성됨을 확인할수있습니다.

 

현재는 백신 으로 치료가 가능한거 같습니다.

 

- 2010년 5월 23일 추가 내용

요즘은 위의 수법이 아닌, 직접적으로 접근하여 쪽지를 보내며, 파일을 주는 경우도 있다고 합니다.

주의하시길바라며,

 

이 바이러스에 감염될 경우, 네이트온 아이디와 비밀번호가 해킹되구요.

 

백신치료후, 비밀번호를 변경하시면 위의 현상이 나타나지 않는걸로 확인됬습니다.

 

 

우와....이것도.. 중학생때 분석했었던 바이러스네요...ㅋㅋ

역시 추억으로 가져왓어요 ㅋㅋ


'Security > Reversing' 카테고리의 다른 글

네이트온(Nate ON) 메신저 악성코드 - see.scr  (0) 2013.01.28
conmie.exe / imm32.dll Virus Report  (0) 2011.05.23

티스토리 툴바