VIRUS



크게 작게 인쇄

네이트온(NateOn) 메신저 악성코드 : dnosfu.rar

국내 네이트온(NateOn) 메신저를 통하여 해킹된 계정을 통한 친구 목록에 등록된 다수의 메신저 사용자에게 악성 링크가 포함된 메시지를 전달하여 dnosfu.rar 압축 파일을 다운로드시키는 악성코드를 유포하고 있으므로 주의가 요구됩니다.

해당 악성 링크를 통해 최종적으로 다운로드되는 dnosfu.rar 파일은 Internet Explorer 8에서 제공되는 SmartScreen 필터에서 안전하지 않은 다운로드로 등록된 악성 도메인으로 1차적인 차단이 이루어지고 있습니다.

다운로드된 압축 파일 내부에는 dnosfu.exe 파일(RAR SFX)이 포함되어 있으며, Windows 폴더 옵션 기본값으로 사용하시는 분들의 경우 그림과 같이 마치 폴더 형태로 보이므로 실수로 클릭을 할 위험성이 있습니다.

해당 파일을 실행할 경우에는 내부에 포함된 cunmo.jpg / laiuo.exe 2개의 파일이 자동으로 실행되도록 구성되어 있으며, 사용자에게는 cunmo.jpg 그림 파일만 화면상으로 제시되며 laiuo.exe 파일의 실행을 인지하지 못합니다.

laiuo.exe (MD5 : 0bd98b2dd478dcdf75ac6d1f4f669b05) 파일에 대해서 Kaspersky 보안 제품에서는 Trojan-PSW.Win32.Agent.qrk (VirusTotal : 17/41) 진단명으로 진단을 하고 있으며, 안철수연구소(AhnLab) 보안 제품에서는 Trojan/Win32.Agent 진단명으로 실시간 차단이 이루어지고 있습니다.

해당 악성코드에 감염된 시스템은 SysMot.sys 파일을 드라이버로 등록하여 Windows 시작시 자동으로 실행되며, Baidog.ttf 파일을 다양한 사용자 프로세스에 등록하여 온라인 게임 넥슨(NEXON) 계정 정보 탈취, 네이트온 계정 정보 탈취 및 V3 보안 제품 무력화 기능을 포함하고 있는 것으로 보입니다.

그러므로 해당 악성코드에 감염된 사용자는 온라인 게임 계정 로그인 및 네이트온 로그인 동작을 절대로 하지 마시고 보안 제품을 통한 치료를 하시기 바랍니다.

또한 만약을 위한 가입 사이트 비밀번호 교체와 함께 해당 악성코드 링크를 전달한 네이트온 사용자에게 비밀번호 교체를 알려주시기 바랍니다.


생성파일 등록정보

C:\WINDOWS\Fonts\Baidog.ttf
C:\WINDOWS\Fonts\Lcomres.ttf
C:\WINDOWS\Fonts\Lin.log
C:\WINDOWS\system\Klpk.exe
C:\WINDOWS\system\SysMot.sys

최근의 네이트온 악성코드의 배포 파일이 rar 압축 파일을 이용하고 있는 경향이 강하므로 수상한 링크를 통해 다운로드되는 rar 파일 내부에 압축된 파일은 절대로 실행하지 않도록 하시기 바랍니다.

코멘트 0
바이러스 | 전체게시물 54
안내

포인트안내닫기

  • 글읽기0
  • 글쓰기0
  • 댓글쓰기0
  • 다운로드0
바이러스리스트
번호 제목 등록일 조회
54 파일첨부 링크 12-04 3890
53 텍스트 09-18 3292
52 텍스트 링크 06-14 3642
51 텍스트
네이트온(NateOn) 메신저 악성코드 : dnosfu.rar
05-10 4218
50 텍스트 03-26 3559
49 텍스트 03-26 3402
48 텍스트 03-26 3677
47 텍스트 03-26 3110
46 텍스트 03-26 3326
45 텍스트 03-25 3341
44 텍스트 03-22 3084
43 텍스트 02-15 3397
42 텍스트 02-15 3033
41 텍스트 02-15 3120
40 텍스트 02-07 3252
39 텍스트 01-23 3744
38 텍스트 11-30 3353
37 텍스트 11-19 3993
36 텍스트 10-29 3398
35 텍스트 10-29 3480
 맨앞이전123