알약(ALYac), 아래아한글 제품의 사용자를 노린 악성코드 주의!!

2012년 11월 12일 한글과컴퓨터 업데이트 서버(update.haansoft.com)가 해킹에 의해 악성코드를 유포 시키는 사례가 발생하였다.

이에 알약에서는 다음과 같은 사항을 공지하였다.

 

안녕하세요, 알약대응팀입니다.

 

한글과컴퓨터社 아래아한글 제품의 사용자를 노린 악성코드가 발견되었습니다.

발견된 악성코드는 아래아한글 제품의 업데이트를 통해 감염되는 것으로 알려졌으며

감염 시, 사용자의 키보드 입력을 저장하여 특정 서버로 전송하는 기능을 가지고 있습니다.

 

현재 알약에서는 이 악성코드를 Trojan.Agent.hupdate 로 진단하고 있습니다.

아래아한글 제품의 사용자께서는 알약을 이용하여 해당 악성코드의 감염 여부를 검사,

 

치료하시기 바랍니다.

 

감사합니다. 

관련 내용으로는 아래 내용들이 있다.

• [AhnLab 블로그] 아래아한글 사용자 노린 악성코드 긴급 엔진 제공

• [바이러스제로2 카페] 한글과컴퓨터 악성코드 유포 by 엘뤼아르(reform114)

해당 파일을 간단하게 살펴보았다.

파일은 SFX(Self-extracting archive : 자동 압축해제 포멧)형식으로 되어 있으며,

C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\RarSFX0 폴더에
OINFOP11.EXE, OInfo11.ocx, OInfo11.iso 파일을 압축 해제 후 SFX Script명령에 의해 OINFOP11.EXE 파일을 실행 시킨다.

실행 된 OINFOP11.EXE 파일은 아래와 같은 파일과 레지스트리를 생성한다.

- 생성파일

C:\Documents and Settings\All Users\Nateon

C:\Documents and Settings\All Users\Nateon\NvSmart.hlp (키로깅이 저장 된 데이터 파일)

C:\Documents and Settings\All Users\Nateon\OINFOP11.EXE (재부팅 시 서비스에 의해 실행 되는 파일)

C:\Documents and Settings\All Users\Nateon\OInfo11.ISO (Bot 및 키로거 기능을 하는 데이터 파일)

C:\Documents and Settings\All Users\Nateon\OInfo11.ocx (OInfo11.ISO 파일을 로드 하는 로더 파일)

- 생성 레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Nateon Services

이후 OInfo11.ocx 파일에 의해 OInfo11.ISO 파일이 로드 된다.

OInfo11.ISO 파일은 일반적인 PE구조를 가진 파일이 아니라, 코드형식을 갖는 데이터 파일이다.
(E8은 OPcode로 Call을 의미한다)

로드 된 OInfo11.ISO 파일은 Bot의 기능과 사용자 입력을 기록하는 키로거의 역활을 수행한다.

키로깅 된 파일은 C:\Documents and Settings\All Users\Nateon\NvSmart.hlp 로 저장 된다.

알약에서는 해당 파일을 Trojan.Agent.hupdate 으로 탐지 중이다.