네이트온(Nate ON) 메신저 악성코드 - see.scr
---------------------------------------------------------------------------------
네이트온에 접속해 있을경우, 이런 쪽지를 받을 경우가 있습니다.
| 이렇게 ** 하는 담을 가졌어! www.shenkr**.com |
등 과 같은 수상한 쪽지가 옵니다.
이로보아, 국내 메신저인 네이트온(NateON)을 통해 왕성하게 유포중인 악성코드로 보입니다.
악성코드의 유포 경로를 보게된다면,
|
[악성코드 유포 경로]
|
저런 주소에 들어가게된다면,
다운로드 창이 뜨게됩니다.
이러한 see.scr 이란 화면 보호기 파일을 다운로드 하게되는데요.
요즘 백신은 이제 거의다 잡더군요. 백신 꼭 켜두세욤
다운받으면
요로케 생겼는데요.
분석해 내부 파일을 보게 되시면,
해당 see.scr 파일 내부에는 [love.exe / naer.exe / pp.jpg] 파일로 압축되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 외부 네트워크와 연결하여 악성코드를 다운로드하여 설치합니다.
[pp.jpg]
하지만 이 악성코드는 이 귀여운 강아지 사진으로 위장하고 있기때문에,
사용자들은 악성코드로 인식하기가 어렵습니다.
see.scr(MD5 : 5e9ee516050895571de0cdbf45a386e8)
바이러스 토탈에 스캔해본 결과 이러한 결과가 나왔습니다.
안철수연구소(AhnLab) 의 V3 에선 Win-Trojan/OnlineGameHack.137517 으로 진단하고 있습니다.
이 악성코드는 온라인 게임 계정 탈취 목적으로 제작되었다고 볼 수 있겠네요.
만약 이 악성코드에 감염되게 되면,
| [시작 프로그램 등록 정보] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run - AAAA = C:\WINDOWS\system32\hf0008.exe |
이렇게 레지스터에 등록되므로, 부팅시에 자동 실행 되게 되어있습니다.
그리고
|
C:\Windows\System32\_pz_hf0008.dll C:\Windows\System32\hf0008.dll |
등의 파일이 생성됨을 확인할수있습니다.
현재는 백신 으로 치료가 가능한거 같습니다.
- 2010년 5월 23일 추가 내용
요즘은 위의 수법이 아닌, 직접적으로 접근하여 쪽지를 보내며, 파일을 주는 경우도 있다고 합니다.
주의하시길바라며,
이 바이러스에 감염될 경우, 네이트온 아이디와 비밀번호가 해킹되구요.
백신치료후, 비밀번호를 변경하시면 위의 현상이 나타나지 않는걸로 확인됬습니다.
우와....이것도.. 중학생때 분석했었던 바이러스네요...ㅋㅋ
역시 추억으로 가져왓어요 ㅋㅋ