0x02 analysis2009. 5. 23. 11:12

Viruslab님의 블로그에 올라온 [Nateon]네이트온 쪽지로 신종 악성코드 유포 중 이라는 글을 보고
어...이거 본 적 있는데....하고 뒤져보니 10일 전에 회사에서 분석보고서를 썼더군요 ^^;
그때 제가 가지고 있었던 정보는 단지 도메인뿐이었습니다.
그래서 Viruslab님의 분석 글과는 약간의 차이가 있을 수 있습니다.

일단 제가 분석을 한 도메인은 www.nouydds.com 이었습니다.
해당 도메인에 접속시 www.tw-nsn.com/gif/jpg.scr로 리다이렉션 되면서 jpg.scr을 다운 받을 수 있었습니다.




특정 취약점을 공격하면 바로 실행시킬 수 있겠죠..

항상 하던 방식대로 일단 실행시켜보니 파일을 6개 생성하였고 그 중에서 5개가 실제 감염된 PC에 영향을 미치는 것으로 보입니다.




새로 생성된 파일들은 시스템 속성(S)과 숨김속성(H)을 가지고 있었습니다.
이 중 hf0214.exe와 hf0214.dll은 상당히 눈에 익었던 녀석들인데 어떤 기능을 하는 녀석들인지는 까먹었습니다. -_-;;
아무튼 hf0214.exe는 레지스트리에 등록되어 있어 재부팅시에도 실행되게끔 되어 있었습니다.




Process Explorer에서 hf0214.dll을 확인해 본 결과 현재 실행되고 있는 주요 프로세스에 인젝션되어 실행되고 있었습니다.




hf0214.dll에서 문자열만 추출해 봤더니 메이플스토리, 바람의 나라 등 게임 프로그램과 Internet Explorer를 후킹하는 듯 보였고
이렇게 후킹하여 가로챈 데이터를 HTTP를 통해서 어떤 데이터를 보내기 위한 함수들도 보였습니다.

         



단지 추측에 지나지 않을 수 있지만 URL에 특정 파라미터들이 오는지도 확인하는 듯 보입니다.




그리고 네이트온과 관계가 있어 보이는 악성코드인 ywulin.dll은 NateOnMain.exe 파일에 인젝션되어 동작하고 있었으며
네이트온 로그인시 로그인 정보를 후킹하여 특정 사이트로 전송하고 있었습니다.




후킹 함수와 URL을 오픈하는 함수가 보입니다.




이상한 URL이 보입니다.




실제로 네이트온에 가짜 계정 정보를 입력해보니 www.xdqxzq.com으로 계정 정보를 보내고 있었습니다.










결국 www.nouydds.com, tw-nsn.com, www.xdqxzq.com 모두 악성사이트라고 판단되어 모두 차단하였는데(모두 중국 IP)

URL을 변경하면서 계속 유포되고 있다고 하니 각별히 주의를 기울이셔야 할 듯 합니다.

아쉽게도 샘플파일이 없어져버려서 Virustotal에는 올려보지 못했지만 대부분 백신업체들이 해당 악성코드에 대한 패턴을 업데이트했으리라 봅니다.

바이러스랩님께서 분석글을 올리신걸 보면 nProtect는 업데이트된 듯 하구요...





Posted by demantos

댓글을 달아 주세요

  1. 현재 유포되는 곳은 도메인이 변경되었답니다.

    2009.05.23 12:13 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 계속 변경되나 봅니다. 좋은 정보 감사합니다.
      그런데 새로운 도메인은 어떻게 찾아야 할지...

      2009.05.23 12:17 신고 [ ADDR : EDIT/ DEL ]
  2. darkhi

    네이트온 로그인 할 때 계정정보가 전달이 된다는 건가요?
    그러면 네이트온 키보드 보안 레벨은 무용지물인가요?

    2009.05.23 18:17 [ ADDR : EDIT/ DEL : REPLY ]
    • 네 무용지물이라고 보시는게 좋을 듯 합니다.
      이미 NateOnMain.exe라는 네이트온 프로그램에 인젝션된 DLL 파일이 정보를 가로채서
      특정 사이트로 보내고 있으니까요..

      2009.05.25 10:06 신고 [ ADDR : EDIT/ DEL ]
  3. 피해자

    그러면..이거 없애거나 치료할 방법은없는건가요?
    지금 저희집이 걸려서 네이트온안켜는데 ..
    어떠케해야하나요 지금 오후10시 다되가는데
    어제 저녁에 바이러스 클릭해서 실행한거 가튼데..
    어떠케해야되나요

    2009.05.23 21:42 [ ADDR : EDIT/ DEL : REPLY ]
  4. ymj

    이거 치료할방법없나요 ㅠ
    지금 미칠것같아요 아 ..

    2009.05.24 23:20 [ ADDR : EDIT/ DEL : REPLY ]
  5. 네이트온 정보를 탈취하는 서버 역시 변경하면서 꾸준하게 유포하고 있더군요.

    잘 봤습니다.^^

    2009.05.31 13:17 신고 [ ADDR : EDIT/ DEL : REPLY ]
  6. 워낙에 이상한 낌새가 들어서 다운은 받지 않았지만...
    네이트온 측에서도 인지를 하고 있을까요....;;;

    2009.06.28 18:25 [ ADDR : EDIT/ DEL : REPLY ]
  7. ㅠㅠ

    이거 방법없나요?정말미치겠어요

    2009.07.02 20:40 [ ADDR : EDIT/ DEL : REPLY ]