네이트온 악성코드 "V3 Lite" 제품파일명을 가장하여 배포

네이트온 쪽지 및 대화창으로 전파 되고 있는 파일 중 국내 보안회사인 안철수연구소 "V3 Lite"의 파일명으로 가장 한 악성파일이

현재 전파되고 있다.

다행히 탐지 중이라서 피해는 미약할 듯 하나, 앞으로도 국내 보안 제품의 이름과 비슷한 파일명들이 많이 나올 듯 하다.

제일 기분 나뿐건.....!!

사진이 없다 ㅡ.ㅡ;; 그냥 드롭퍼인 exe 파일일뿐!!

- 참조 사이트

http://virusfree.tistory.com/41

- 유포 URL

www.sto***e.com/oeg****i/ckdg****2e.exe 으로 7월 12일 발견되었으며 현재도 다운로드가 가능하다.

기존에도 네이트온 전파 악성코드는 Themida Packing을 사용하였지만, 요즘 들어 이넘들이 너무 자주 쓴다 ㅡ.ㅡ;;

누굴 엿 먹일려고 ㅠ_ㅠ

- 생성 파일

C:\WINDOWS\system32\V3lght.dll

C:\WINDOWS\system32\Mkdwk.dll

C:\WINDOWS\system32\x_com.dll

C:\Documents and Settings\XP\Local Settings\Temp\kkk.tmp

1) V3lght.dll(악성파일, 중간에 i 가 빠져있음)

ㄴ 국내 보안제품은 V3 Lite를 가장하기 위한 파일명으로 정상적인 프로그램은

C:\Program Files\AhnLab\V3Lite\v3light.exe 파일이다.

2) Mkdwk.dll(정상적인 파일)

ㄴ WFP(Windows File Protection)를 우회하기 위해 복사 해 둔 파일이다.

온라인 스파이웨어 악성파일들이 자주 사용하는 방법으로 차후 WFP에 대한 방법에 대해 소개하도록 한다.

3) x_com.dll, kkk.tmp(정상적인 파일)

ㄴ 정상적인 comres.dll를 복사 해 둔 파일이다.

- 변조 된 파일

C:\WINDOWS\system32\comres.dll

1) comres.dll(변조 되어 악성으로 분류 된 파일)

ㄴ V3lght.dll 과 동일한 형태를 띄고 있지만, 중간에 1Byte가 틀린 점으로 보아 V3lght.dll과는 조금 다른 행위를 하려는 듯(분석 진행 중)

- 계정 탈취 대상

CKAppEx.dll(NateOn)

QuBie(철도 예약 사이트)

dnf(온라인게임 던전앤 파이터)

maplestory(온라인게임 메이플 스토리)

hxxp://www.xd****.com/bo**r/dtenh/ndf.asp

hxxp://www.xd****.com/bo**r/ndehgy/nate.asp

hxxp://www.xd****.com/bo**r/msore/maoxiandao.asp

가로 챈 정보는 각각 위의 사이트로 전달 된다.

- 안티디버그

Themida의 특기인 안티디버깅에 대한 모니터링 코드가 들어가있다.

WinIce

SoftIce

FileMon

RegMon

현재 문자열로 보이는 것은 요것 뿐 확실한건 덤프 후 확인이 가능할 듯...!!

Ps. 제작자에게 한마디!!

똑바로 좀 만들어 다오 ㅡ.ㅡ;; 알지? 엉아가 멀 말하는지~ㅎㅎ

저작자표시 비영리 변경금지

'IT 보안소식' 카테고리의 다른 글

다음(Daum), 사칭 ActiveX 설치 주의 안내 (0)	2010.07.15
갤럭시S(GalaxyS), 국내에서 첫 "탈옥" 성공 (6)	2010.07.14
알약(ALYac), 윈도우2000, XP 서비스팩 2 기술지원 종료에 따른 업그레이드 준비 안내 (2)	2010.07.13
The Panda Challenge 2010 Edition: Dates & Details (0)	2010.07.12
[77DDoS]2010년 7월 7일 현재 DDoS 보안업체 대응 상황 (8)	2010.07.08