본문 바로가기
Malwares 분석

see.scr - MD5 : 01512107cdf5ed9654c69a0157ce52ec

by 글벌레 2010. 3. 9.
반응형

현재 메신저를 통해 기승을 부리는 악성코드가 있어서 이에 대한 주의를 요하는 포스트입니다.

본문 중 악성 코드 유포 링크 주소들은 클릭 방지 및 이곳에서 다이렉트 다운로드를 방지키 위하여
일부 블라인드 처리 후 그림으로 대체하기로 합니다.

이 글은 다음과 같은 순서로 진행됩니다.

1. 악성코드 배포 링크 및 악성코드 Hash 값
2. 本 악성코드 실행 시 일어나는 시스템 변화
3. 예방법
4. 本 악성코드에 대한 바이러스 토탈 검사 결과

한 가지 혹시나 염려가 되어, 일부러, 고의적으로  악성코드를 유포하는 행위는 적발될 경우
중벌을 받는 범법 행위임
을 고지해 둡니다.

또 한 가지 본 포스트에서는 감염 여부의 식별법에 대하여만 고지할 뿐입니다.

 1. 악성코드 배포 링크 및 악성코드 Hash 값


악성코드 배포 링크


일부 블라인드 처리했지만 눈에 익히시면 메신저를 통해 링크를 실제 받았을 때 구별이 가능할 겁니다.
위 링크를 메신저를 통해 보게 되면 절대 클릭하면 안 됩니다!
위 링크를 클릭하면 악성코드 다운로드 링크로 리다이렉트 되어 악성코드가 다운로드됩니다.


다운로드되는 악성코드 명칭은 see.scr이며 그 Hash 값 아래와 같습니다.

 

 2. 本 악성코드 실행 시 일어나는 시스템 변화


see.scr이 실행되면
%TEMP% 폴더에 아래와 같은 폴더와 파일들이 생성됩니다.
(%TEMP% ? 시작 > 실행에서 %TEMP%라고 치고 엔터하면 뜨는 사용자 임시 폴더.)

 %TEMP%\RarSFX0
     789.jpg
     nove.exe 
%TEMP%\RarSFX1
     789.jpg 


여기서 789.jpg는 화면 보호기 상으로 출력되는 사진으로 아래와 같습니다.
이 사진은 악성코드가 출력한 사진입니다만,
혹시 모를 저작권 및 초상권 관계로 얼굴은 모자이크 처리합니다.

 

다시 한 번 밝혀 놓지만 이 사진은 악성코드가 출력하는 사진입니다.

nove.exe는 실행이 되면서
windows\system에 아래 다섯 개의 파일들을 생성합니다.

Baidog.dat 
ExeWen.exe
Lcomres.dat 
Lin.log
Sting.log 


그리고 windows 루트에 5.ini 라는 파일도 생성을 합니다.

이 중에 좀 특이한 게 Baidog.dat 가 키로거라 합니다.......
제가 메신저 링크 악성코드들 관찰 중에 본 키로거들은 hfdf수자.dll 이런 식의 명칭이 다였거든요....

어쨌든 Baidog.dat 이놈은 COMODO Defense+ 가 키로거 종류라고 말을 하고
실제로 인터넷 익스플로러로 인젝션됩니다.

 

위 그림처럼 인젝션 여부를 알아보려면 아래 관련 글의 도구를 이용해야 합니다 .
관련 글 보기 : : 2009/10/17 - [프로그램 리뷰] - ProcessExplorer

이제 nove.exe 이 것이 windows 루트에 배치 파일을 하나 생성하는데
그 이름이 del1234cef.bat 이고 그 내용은 아래와 같습니다.


즉, nove.exe와 배치 파일 자신을 삭제하라는 내용입니다.

이상이 파일 시스템에 나타난 변화입니다.

레지스트리 변화는 제가 잘 잡아내지 못한 것인지 하나를 발견했는데

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"SavedLegacySettings"=

위 빨간 글자로 쓰인 값의 BINARY를 변경시킵니다.

이상이 see.scr이 시스템 파일 및 레지스트리에 변경을 가한 사항입니다.
이 정도 정보면 자신의 시스템이 감염되었는지 아닌지 감별해 볼 수 있으리라 보입니다. 

 3. 예방법


예방법은 딱 하나입니다 .

메신저로 링크가 올 경우 클릭하지 않는 것입니다.
(물론 이는 이메일 링크의 경우도 마찬가지로 주의가 요구됩니다.)

설사 아무리 친한 친구가 보냈다 해도
링크가 올 이유가 없는데 뜬금없이 오는 경우는 절대 클릭하면 안 됩니다.
간혹, 친구가 말을 걸어오는데 분위기가 이상하다 싶을 때도 보내 주는 링크를 클릭하면 안 됩니다.

혹시 실수로 클릭을 해 버린 경우라면
보안 경고창 또는 파일 실행 확인 창이 뜰 때, 확인을 누르지 말고 꺼 버려야 합니다.

참고로 이 악성코드는 오늘 저, 그리고 또 많은 분들에 의하여 안철수연구소로 신고된 것으로 압니다.
그러므로 내일 중에는 V3 제품군의 엔진에 치료 패턴이 업데이트되리라 봅니다.

 4. 本 악성코드에 대한 바이러스 토탈 검사 결과


참고로 언급할 수 밖에 없는 것은 아래 검사 결과를 보면
BitDefender는 진단을 하고 있지만, 역시 BitDefender 엔진을 차용한 nProtect는 진단을 하지 못하고 있습니다.
그러므로 일단은 제가 알약을 안 쓰고 있는 관계로.......알약의 진단 여부를 확언할 수는 없어 보입니다.
그런데 만약 알약도 진단을 못한다면
현재 이 악성코드에 대하여 많은 사용자가 무방비 상태로 있다고 봐야 할 겁니다.
참고로 AVG 같은 경우는 아래 결과에서 보듯 see.scr은 진단을 못하지만
see.scr이 실행되고 제일 먼저 풀려 나오는 nove.exe는 진단을 합니다. 



이 악성코드는 지식iN 질문자의 제보로(질문으로) 어제 오전에 접하게 되었지만,
어제는 도통 포스팅할 시간이 나지 않아 이 새벽에 삽질을 했습니다 ㅠ ㅜ

아,, 졸리군요. 원래 일찍 잠들고 일찍 일어나 글을 쓰는 게 제 스타일인데.........
이런 건은 급격하게 유행하다가 갑자기 사라지기 때문에 .....

좋은 꿈들 꾸십시요 ^ ^* 호호

반응형

'Malwares 분석' 카테고리의 다른 글

네이트온 악성코드를 헤쳐 보았다 .  (0) 2010.06.02
image.rar - 네이트온 악성코드  (6) 2010.03.28
stat.exe - infostealer  (8) 2010.03.07
svchost.exe  (0) 2010.02.12
flash.exe  (1) 2009.06.27
svhost.exe  (0) 2009.04.10
itynfu.exe  (0) 2009.04.06
dr.exe  (1) 2009.03.19

댓글