티스토리 뷰


최근들어서 네이트온 해킹의 빈도가 급격히 높아지고 있습니다. 과거에 MSN 등지에서 유행했던 공격수법인데 국내에 네이트온 수요자가 많아지면서 점차적으로 확산되고 있습니다. 

현재 공격패턴을 보면 이미지를 포함한 rar 형태의 압축파일을 1:1로 전송하고 있습니다.

네이트온의 경우 친구로 등록되어져 있는 사람이 보내므로 약간의 신뢰도를 지니고 있다는점에서 공격파일을 실행하는 경우가 많이 있습니다.

쪽지를 통해 전파되는 악성코드는 URL을 첨부하여 보내는 형태입니다.

그리고 해당 URL을 클릭하게 되면 다음과 같이 rar 압축파일이 전송되어집니다.



그리고 해당 파일을 다운받으면 아래와 같은 압축파일입니다. 아래 두 빵은 각각 다른 곳에서 받아온 파일입니다.


폴더........모양의 exe 파일이 보입니다. 절대 폴더가 아닙니다. 클릭하지 마세요!! 

옵션에서 알려진 확장자를 숨기도록 설정되어있는 경우에는 폴더의 모양과 동일하므로 주의 하셔야 합니다.


실제로 실행만 하지 않으면 아무런 영향은 없습니다.


압축을 다시한번 풀어야 비로소 아래처럼 접근 폴더가 생깁니다. 
 

폴더를 열면 다음과 같은 파일들이 보입니다. 상단의 파일을 실행했을 경우에는 실제로 아래 이미지만 보이고 악성코드가 깔리는것은 보이지 않습니다.


calc.exe 파일을 실행하면 (절대 실행하지 마세요!!!)


실행파일은 없어집니다. 자기역활을 다하고 옮겨지거나 삭제되는것이겠죠.

여기서 중요한것은 만약 위에 압축파일을 풀지 않고 바로 실행했을 경우에는 실행파일은 이미 삭제되고 난 후기 때문에 클라이언트가 볼때는 단순한 그림파일만 있는것처럼 인지됩니다.

저는 테스트때문에 어쩔수 없이 실행을....


걸렸습니다.ㅜㅜ

다행히도 네이트온 접속시에는 아래와 같은 경고창을 보내줍니다.
아래의 파일은 알약에서는 나오지 않습니다.



아래는 다른 압축파일에 포함되어 있던 비슷한 파일입니다. 보나마나 내용은 똑같을 것으로 보여집니다.


WinTian.dll 의 파일 내용을 좀 보도록 하겠습니다.

실제로 요즘들어서 변종들이 많이 생겨나고 있는데 몇몇 파일들은 FSG 로 패킹되있으므로 언패킹 하시면 됩니다.

요약분석하도록 하겠습니다.


AhnLab 에서 제공하고 있는 V3Lite 의 레지스트리 키 핸들을 해제하려고 합니다.



Font 폴더에 WinFat.ttf 라는 또다른 dll 이 숨어있습니다.


던전파이터와 익스플로러로 인한 로그인 , 메이플스토리 , 네이트온 접속시 계정에 대한 키로깅을 하고 있습니다.

익스플로러로 인한 로그인과 네이트온을 통해 계정을 수집하고 전파하여 넥슨계열의 계정을 통해 아이템거래를 통한 수익화를 최종 목표로 두고 있는거 같습니다.

최근에 변종이 너무나도 많이 있네요.

일부는 익스플로러를 통해 계정을 입력할때도 유출될 가능성이 있습니다.

악성코드에 걸리신 분들은 아래를 참조하시기 바랍니다.

1. 실시간 감시 또는 백신을 통해서 1차 검사

백신검사는 반드시 필요합니다. attrib 을 통해서 이미 다 숨겨져 있기 때문에 육안으로는 안보일 수 있습니다.

파일 삭제할것
2. C:\Windows\font\WinFat.ttf  삭제
3. C:\Windows\system32\WinTian.dll  삭제

또한 변종이 극정하고 있기 때문에 아래와 같이 레지스트리에 삽입되었을 수도 있습니다. (기본값 참조)



다시 말씀 드리지만 변종이 워낙 많기 떄문에 전부다 포스팅을 하기는 어렵습니다.

1차적으로 압축파일이름을 네이버, 네이트, 다음 , 구글과 같은 검색엔진을 통해 확인해보시고 이미 감염되었다면 백신을 통해서 나오는 파일이름을 검색엔진으로 검사하여 그에 관련되어 나오는 적절한 대응책을 확인하시기 바랍니다.


주의사항

1. 쪽지에 URL 이 적혀있으면 주의하셔야 합니다. 쪽지뿐만 아니라 대화에서도 주의하셔야 합니다.

2. URL을 클릭시 웹사이트가 뜨지 않고 바로 첨부파일이 다운받아지면 악성코드일 확률이 높습니다.

3. 첨부파일의 압축을 풀었을때 이미지와 실행파일이 보이면 악성코드일 확률은 더 높습니다. 
- 최근에는 강아지 , 아기 , 연애인 사진이 주류를 이루고 있습니다.

        만약 위와같은사진이 들어있다면 백프롬돠.


키로거이기 떄문에 강력한 보안의 암호를 설정해도 탈취당할수 있습니다. 1차적으로 네이트온 접속시 경고를 보내주고 있지만 5월말부터 네이트온을 이용한 악성코드전파가 급격하게 이루어지고 있는 만큼 주기적으로 비번을 바꾸시기를 권고드립니다.

댓글