본문 바로가기
IT 보안소식

네이트온으로 전파되는 악성코드 변종 발견

by 잡다한 처리 2009. 7. 20.
반응형




네이트온 메신저로 전파 되었던 jpg.scr과 gif.scr이 아닌 다른 (문구).com 으로 전파 되는 악성파일이 발견되었다.

예전 버전으로 보이긴 하나, 예전버전과는 다른 안전모드를 불능으로 하는 기능이 추가 된 듯 하다.


1) 악성파일이 동작 시 다음과 같은 그림을 사용자에게 보여주게 된다.
개인적으로 OMG WTF가 몬지 궁금해서 찾아봣다 ㅡ_ㅡ;;
궁금한 사람은 눌러서 보세요 ㅋㅋ

2) 그림으로 사용자의 눈을 현혹하며, 다음 위치에 파일을 생성한다.
※ 0308_up.exe와 3l_up.exe는 후킹되어 프로세스 목록에 나타나지 않는다
(참고)os.msstyles 파일은 정상파일인 MSWINSCK.OCX 파일이다.
(개인적으로 아이콘이 귀엽다;;)

3) 파일 중 0308_up.exe 파일이 Run레지스트리에 등록된다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"랜덤" = " C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\0308_up.exe"

4) 후킹 된 자신의 모습을 사용자가 보지 못하도록 안전모드 진입을 방지 하기 위해 다음 레지스트리를 삭제한다.
- 삭제되는 안전모드 관련 레지스트리
HLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}
HLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}
HLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}
HLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}

위의 레지스트리가 삭제 되면 안전모드 진입 시 0x0000007B 블루스크린이 발생한다.


5) Windows 보안 서비스를 중지 및 변경시킨다.
- Application Layer Gateway Service(인터넷 연결 공유 및 Windows 방화벽 관련)
System Restore Service(시스템 복원 관련)
Windows Firewall/Internet Connection Sharing (ICS)(네트워크 침입 방지 서비스 관련)
Security Center(보안센터 관련)
Volume Shadow Copy(백업과 기타 목적에 사용하는 볼륨 섀도 복사본을 관리하고 구현하는 서비스)

6) 결론
현재까지의 분석으로는 스파이웨어 행동은 보이지 않고 있다.
물론 레지스트리 삭제나 서비스 중지 같은 행동은 보이지만 내가 제작자라도 이렇게 끝내고 말꺼였으면 만들지도 않았을 것이다!
좀 더 상세하게 분석을 해보면 나오것징 ㅎㅎㅎ

댓글