'네이트온 악성코드'에 해당되는 글 2건

  1. 2009.05.25 네이트온 악성코드 제거 방법 5
  2. 2009.05.23 네이트온 관련 악성코드 9
0x02 analysis2009. 5. 25. 10:40

댓글로 문의하시는분들도 계시고 유입 키워드에도 ywulin.dll로 검색해서 제 블로그에 들어 오신 분들이 많으셔서
해당 악성코드를 삭제하는 방법을 알려드리도록 하겠습니다.
아무쪼록 도움이 되었으면 합니다.

먼저 Process Explorer를 다운 받습니다.

압축을 풀고 실행을 시키시면 다음과 같은 화면이 나올겁니다.(화면 구성에 약간의 차이는 있을 수 있습니다)




Ctrl+F를 누르시거나 메뉴바쪽에 잇는 망원경 표시를 누르시면 검색을 하실 수 있습니다.

검색 문자열에 ywulin.dll을 입력하고 검색을 하면 아래쪽에 NateOnMain.exe라는 프로세스 이름이 나오고
Handle or DLL쪽에 ywulin.dll 파일명이 보이실 겁니다.
해당 프로세스를 클릭하시면 현재 뒤쪽에 있는 Process Explorer에 표시가 될 것이고 아래쪽 창에 C:\WINDOWS\system32\ywulin.dll가 보이실겁니다.

아래쪽에 악성코드 파일명에 마우스 오른쪽 클릭을 하신 후 Close Handle을 클릭하시면 해당 악성코드 핸들이 닫힙니다.




이전까지는 삭제가 안되시던 ywulin.dll 파일이 핸들을 닫고 나면 삭제가 됩니다.





그리고 사용하시는 백신 프로그램을 업데이트하시고 정밀검사도 한번 하실것을 권장합니다.
백신업데이트는 항상 자동으로 되도록 하시는게 좋습니다.



Posted by demantos
0x02 analysis2009. 5. 23. 11:12

Viruslab님의 블로그에 올라온 [Nateon]네이트온 쪽지로 신종 악성코드 유포 중 이라는 글을 보고
어...이거 본 적 있는데....하고 뒤져보니 10일 전에 회사에서 분석보고서를 썼더군요 ^^;
그때 제가 가지고 있었던 정보는 단지 도메인뿐이었습니다.
그래서 Viruslab님의 분석 글과는 약간의 차이가 있을 수 있습니다.

일단 제가 분석을 한 도메인은 www.nouydds.com 이었습니다.
해당 도메인에 접속시 www.tw-nsn.com/gif/jpg.scr로 리다이렉션 되면서 jpg.scr을 다운 받을 수 있었습니다.




특정 취약점을 공격하면 바로 실행시킬 수 있겠죠..

항상 하던 방식대로 일단 실행시켜보니 파일을 6개 생성하였고 그 중에서 5개가 실제 감염된 PC에 영향을 미치는 것으로 보입니다.




새로 생성된 파일들은 시스템 속성(S)과 숨김속성(H)을 가지고 있었습니다.
이 중 hf0214.exe와 hf0214.dll은 상당히 눈에 익었던 녀석들인데 어떤 기능을 하는 녀석들인지는 까먹었습니다. -_-;;
아무튼 hf0214.exe는 레지스트리에 등록되어 있어 재부팅시에도 실행되게끔 되어 있었습니다.




Process Explorer에서 hf0214.dll을 확인해 본 결과 현재 실행되고 있는 주요 프로세스에 인젝션되어 실행되고 있었습니다.




hf0214.dll에서 문자열만 추출해 봤더니 메이플스토리, 바람의 나라 등 게임 프로그램과 Internet Explorer를 후킹하는 듯 보였고
이렇게 후킹하여 가로챈 데이터를 HTTP를 통해서 어떤 데이터를 보내기 위한 함수들도 보였습니다.

         



단지 추측에 지나지 않을 수 있지만 URL에 특정 파라미터들이 오는지도 확인하는 듯 보입니다.




그리고 네이트온과 관계가 있어 보이는 악성코드인 ywulin.dll은 NateOnMain.exe 파일에 인젝션되어 동작하고 있었으며
네이트온 로그인시 로그인 정보를 후킹하여 특정 사이트로 전송하고 있었습니다.




후킹 함수와 URL을 오픈하는 함수가 보입니다.




이상한 URL이 보입니다.




실제로 네이트온에 가짜 계정 정보를 입력해보니 www.xdqxzq.com으로 계정 정보를 보내고 있었습니다.










결국 www.nouydds.com, tw-nsn.com, www.xdqxzq.com 모두 악성사이트라고 판단되어 모두 차단하였는데(모두 중국 IP)

URL을 변경하면서 계속 유포되고 있다고 하니 각별히 주의를 기울이셔야 할 듯 합니다.

아쉽게도 샘플파일이 없어져버려서 Virustotal에는 올려보지 못했지만 대부분 백신업체들이 해당 악성코드에 대한 패턴을 업데이트했으리라 봅니다.

바이러스랩님께서 분석글을 올리신걸 보면 nProtect는 업데이트된 듯 하구요...





Posted by demantos