ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 네이트온(Nate ON) 메신저 악성코드 - see.scr
    Security/Reversing 2013. 1. 28. 12:54
    336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

    ---------------------------------------------------------------------------------

    네이트온에 접속해 있을경우, 이런 쪽지를 받을 경우가 있습니다.

     이렇게 ** 하는 담을 가졌어!  www.shenkr**.com

    등 과 같은 수상한 쪽지가 옵니다.

    이로보아, 국내 메신저인 네이트온(NateON)을 통해 왕성하게 유포중인 악성코드로 보입니다.

     

    악성코드의 유포 경로를 보게된다면,

     [악성코드 유포 경로]

    h**p://www.zip*****.com/
    h**p://www.ayuorn***.com/love/see.scr

     

     

    저런 주소에 들어가게된다면,

    다운로드 창이 뜨게됩니다.





    이러한 see.scr 이란 화면 보호기 파일을 다운로드 하게되는데요.

    요즘 백신은 이제 거의다 잡더군요. 백신 꼭 켜두세욤

    다운받으면





    요로케 생겼는데요.

    분석해 내부 파일을 보게 되시면,





    해당 see.scr 파일 내부에는 [love.exe / naer.exe / pp.jpg] 파일로 압축되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 외부 네트워크와 연결하여 악성코드를 다운로드하여 설치합니다.

     


    [pp.jpg]

     

    하지만 이 악성코드는 이 귀여운 강아지 사진으로 위장하고 있기때문에,

    사용자들은 악성코드로 인식하기가 어렵습니다.

     

     

     


    see.scr(MD5 : 5e9ee516050895571de0cdbf45a386e8)

     

    바이러스 토탈에 스캔해본 결과 이러한 결과가 나왔습니다.

    안철수연구소(AhnLab) 의 V3 에선 Win-Trojan/OnlineGameHack.137517 으로 진단하고 있습니다.

    이 악성코드는 온라인 게임 계정 탈취 목적으로 제작되었다고 볼 수 있겠네요.

     

    만약 이 악성코드에 감염되게 되면,

     [시작 프로그램 등록 정보]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
     -
    AAAA = C:\WINDOWS\system32\hf0008.exe

    이렇게 레지스터에 등록되므로, 부팅시에 자동 실행 되게 되어있습니다.

    그리고

     C:\Windows\System32\_pz_hf0008.dll

     C:\Windows\System32\hf0008.dll

    등의 파일이 생성됨을 확인할수있습니다.

     

    현재는 백신 으로 치료가 가능한거 같습니다.

     

    - 2010년 5월 23일 추가 내용

    요즘은 위의 수법이 아닌, 직접적으로 접근하여 쪽지를 보내며, 파일을 주는 경우도 있다고 합니다.

    주의하시길바라며,

     

    이 바이러스에 감염될 경우, 네이트온 아이디와 비밀번호가 해킹되구요.

     

    백신치료후, 비밀번호를 변경하시면 위의 현상이 나타나지 않는걸로 확인됬습니다.

     

     

    우와....이것도.. 중학생때 분석했었던 바이러스네요...ㅋㅋ

    역시 추억으로 가져왓어요 ㅋㅋ


    'Security > Reversing' 카테고리의 다른 글

    conmie.exe / imm32.dll Virus Report  (0) 2011.05.23

    댓글

Designed by Tistory.