Mylabs

네이트온 쪽지 바이러스 본문

Malware

네이트온 쪽지 바이러스

[Edge] 2010. 3. 8. 15:48
반응형
 몇일 전 아는 지인으로 부터 쪽지를 받았습니다.
 쪽지의 내용은 다음과 같이 왔네요.
             봐라! 사기꾼은 다 이렇게 나온다!  www.pingxxxx.com

 링크 클릭을 유도하더군요. 처음에는 무심하게 지나갔으나, 얼마후 해킹당한 것 같다는
 제보로 바로 또 직업정신(?)을 발휘해서 추적 들어갔습니다 ^0^

 네이트온 쪽지 악성코드 변종인 것으로 분석이 되더군요.
 특정 게임 계정정보 탈취를 위한 목적으로 만들어졌으며, 최초 숙주 파일은 Dropper 의 형태를 띄고 있네요.
 안랩의 V3Lite와 사이트가드를 무력화 하려고 시도하는 코드를 포함하고 있습니다.

 

[그림 1] 그림이 바뀌었네요 ㅋ


 기존의 쪽지 악성코드와 마찬가지로 위 그림한장 낚시로 띄어주고(789.jpg), 시작합니다.
 nove.exe를 동시에 드랍하고 실행하죠. Drop 하는 파일 목록은 다음과 같습니다.
 
 c:\windows\system\Baidog.dat - 패키지화 된 악성코드를 콘트롤 하는 메인주체
 c:\windows\system\ExeWen.exe - nove.exe 와 동일
 c:\windows\system\Lcomres.dat - ExeWen.exe 를 실행하는 주체
 c:\windows\system\Lin.log - nove.exe 와 동일
 c:\windows\system\Sting.log - Driver

ExeWen.exe 와 Lin.log는 기존에 많이 쓰이던 변조된 헤더와 비슷한 형태를 취하고 있습니다.
소문자 mz 와 pe 를 메모리상에서 또는 파일상에서 수정한 후 다시 원래대로 되돌리는 기법을 조금 변형한 듯 합니다.




 V3와 사이트가드를 무력화 하는 코드는 Sting 드라이버 파일에 존재합니다.


[ NotifyRoutine ]




반응형
8 Comments
  • 프로필사진 Favicon of https://viruslab.tistory.com BlogIcon viruslab 2010.03.09 09:23 신고 아.. mz 와 pe 를 변경하던 놈은 대체로 외산 FakeAV 설치하는 녀석들과 연관되어 있는것 같은데. 네이트온 쪽지형은 ML 이군요.ㅎㅎ

    뭐 국내에 RAR 헤더처럼 위장한것은 여전히 극성이기도 하지만요. 그래도 더 많이 신경썼다고 봐야겠지요?^^
  • 프로필사진 Favicon of https://mylabs.tistory.com BlogIcon [Edge] 2010.03.09 15:27 신고 네 백신을 우회하기 위해, 바이너리를 변조하는 기법이 앞으로도 계속 나올듯 싶습니다. Rar 변조역시도 또다른 암호화기법이 나올거 같고, 다른 포멧들도 하나둘씩 건드리게 되면 일이 이만저만이 아니겠네요 ㅎ
  • 프로필사진 meananghj 2010.06.21 14:26 방금 그런 쪽지를 받아서 열엇..;; ㅠㅠ 저능 큰일난건가요? 어찌해야할지. ㅠㅠㅠ
  • 프로필사진 Favicon of https://mylabs.tistory.com BlogIcon [Edge] 2010.06.21 14:44 신고 쪽지를 받았을때, 적혀있는 링크를 클릭한다고 바로 감염되는 것은 아닙니다.
    다운로드 되는 파일을 실행하면 문제가 되죠
    혹시 실행하셔서 그림파일을 보셨다면, 감염되었을 가능성이 큽니다. 보통 게임정보 탈취가 주목적이긴 합니다.
    백신제품으로 시스템을 검사하세요^^
  • 프로필사진 asdasd 2010.06.28 21:11 친구들한데 왜이런쪽지를보냈냐는 질문을받았어요.. 뭔일인가싶어 보낸메시지함을 열어보니
    제가 단체 스팸쪽지를 보냈습니다ㅠㅠ 진짜 딱 저런식으로요......ㅜㅜ
    게다가 옛날에 또 한 번 그랬었거든요~ 그때 정말 열받았었는데 이번에 또ㅠㅠ!!
    단체스팸쪽지가 이번이 두번째입니다
    해킹당한건가요??? 제 비밀번호를 어떻게알았을까요??ㅜㅜ

    이거를 어떻게 처리해야 되죠? ㅜㅜ다신 이런일 당하지않으려면 어떻게 해야하나요ㅠㅠ

    말하다보니 고민상담..? 이 되어버린것같네요ㅜㅜ
    꼭 좀 자세히 일러주시면 저엉~말 감사하겠습니다ㅠㅠㅋㅋ
  • 프로필사진 Favicon of https://mylabs.tistory.com BlogIcon [Edge] 2010.06.29 08:51 신고 네이트온의 비밀번호를 특정한 정보만으로 변경할수 있다고 알고 있습니다. 그부분을 이용해서, 많은 사람들이 피해를 보는거 같긴 한데, 정확인 어떤부분이 문제인지는 저도 정확히 언급하기엔 조금 제한적이네요^^

    비밀번호를 자주 바꿔주시고, 영문과 숫자, 특문까지 조합해서 어렵게 만들어주시는게 가장 간단하고 좋은 방법이 아닐까 생각해봅니다.
    또한 악성코드 측면에서 보자면, 무분별한 크랙이나 무료프로그램등의 광고성 글로 유인하는 사이트를 방문하지 않으시는 것이 악성코드 감염이 되지 않는 방법입니다.
    그러한 사이트에서 악성코드가 설치되면, 개인정보가 유출될 가능성이 높아지는 것이죠^^
  • 프로필사진 znzlaktsk 2010.08.15 15:41 저도 모르고 클릭을 해버렸는데 ㅠㅠ 감염된건 어떻게 아나요 ㅠㅠ
  • 프로필사진 Favicon of https://mylabs.tistory.com BlogIcon [Edge] 2010.08.18 11:28 신고 클릭한다고 꼭 감염되는 것은 아니지만,
    제가 포스팅한 경우라면 클릭만으론
    감염되지 않습니다.
    감염여부는 파일이나 레지스트리를 점검해보는것인데
    어려우시다면 백신 프로그램을 사용해보세요.
댓글쓰기 폼