네이트온 악성코드 사진변경(2011-04-17)

국내 최대의 회원수를 자랑하는 메신저 "네이트온(NateOn)"의 쪽지로 전파되는 악성코드가 발견되었다.

예전에는 쪽지나 대화창으로 URL이 링크되어, 사용자가 클릭하면 1개의 실행파일을 다운로드 하는 방식이였다.

근래에 들어서는 쪽지나 대화창으로 악성URL이 유포되는 방식은 동일하지만, 파일을 다운로드 시키는 것이 아니라~ 
특정 사이트로 이동하여 사용자PC에 해당 취약점이 존재 시에만 사용자PC에 다운로드 받는 방식으로 변경되었다.

http://www.*****guj.com (네이트온 쪽지로 전달되는 URL)

http://www.*****guj.com/1.html (취약점을 이용한 악성 스크립트)
http://www.*****guj.com/k.js (악성 스크립트에 연동되는 스크립트)

http://www.*****guj.com/yangfd/adjku.exe (취약점에 의해 다운로드 되는 악성파일)

악성파일 제작자는 사용자의 눈을 속이기 위해 URL 클릭 시 특정사진(747_1000.jpg)을 보여준다.
(사진이 19금 파일로 자극적이라~ 더보기로.....ㅋㅋ)

사용자 PC에 취약점이 존재하면 1.html 악성 스크립트 파일에 의해 adjku.exe 파일이 다운로드 되어,
사용자 몰래 실행되며 아래와 같은 악성파일을 생성시킨다.

- 생성 된 악성파일
C:\WINDOWS\FXSST.dll
C:\WINDOWS\system32\V3lght.dll

- 계정 탈취 대상

CKAppEx.dll(NateOn)

QuBie(철도 예약 사이트)

dnf(온라인게임 던전앤 파이터)

maplestory(온라인게임 메이플 스토리)

- 탈취 한 계정을 전송시키는 서버

hxxp://www.xd****.com/bo**r/dtenh/ndf.asp

hxxp://www.xd****.com/bo**r/ndehgy/nate.asp

hxxp://www.xd****.com/bo**r/msore/maoxiandao.asp 

알약에서는 다음과 같이 탐지 중이니, 실시간검사를 항상 On 으로 켜 두길 바란다.
adjku.exe(Mal/Behav-066), FXSST.dll(Trojan.Heur.Gm.5002806020), V3lght.dll(Trojan.Heur.Gm.1002816020)

 

- 관련글
2010/07/13 - [악성코드소식] - 네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포
2010/07/05 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-07-05)
2010/06/28 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-06-28)
2010/05/31 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-05-30)
2010/05/11 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-05-10)
2010/05/03 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-05-03)
2010/03/23 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-03-23)
2010/03/22 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-03-22)
2010/03/09 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-03-03) 파일 분석
2010/03/03 - [악성코드소식] - 네이트온 악성코드 사진변경(2010-03-03)
2009/11/19 - [악성코드소식] - 네이트온 악성코드 사진변경(2009-11-19)
2009/10/19 - [악성코드소식] - 네이트온 악성코드 사진변경
2009/08/03 - [악성코드소식] - 네이트온 악성코드 사진 추가
2009/07/21 - [분석해보까?] - [정보보호21C]2부 메신저로 전파되는 악성코드의 실체
2009/07/20 - [악성코드소식] - 네이트온으로 전파되는 악성코드 변종 발견
2009/06/16 - [악성코드소식] - 네이트온 변종이 또 활개 ㅡ.ㅡ;;
2009/05/11 - [악성코드소식] - 네이트온 변종 발생
2009/03/03 - [악성코드소식] - 네이트온 변종 발견되었음