인터넷을 검사해보면 2008년 6월 30일부터 네이트온 쪽지로 다음과 같은 유형의 쪽지가 보내졌다.

안철수연구소는 2008년 7월 2일부터 조금씩 문의가 오기 시작했지만 정확한 샘플이 들어오지는 않았고 7월 4일 처음 샘플이 접수되었다.

'당신에게 매우 흥미로운 내가 찍은 사진을 보냅니다. http://<주소 생략>
'우리집에 애완견인데 이뻐요 ? http://<주소 생략>'

나티스(Natice) 쪽지 내용

네이트온 쪽지로 보내진 악성코드 - 나티스(Natice)


사용자가 그림을 클릭하면 해킹된 웹 서버로 접속되며 실행 파일을 다운로드 한다.

WinRAR SFX 파일로 4개 파일을 포함하고 있다.

26.exe (27,091 바이트) :
80.exe (82,432 바이트)
error.jpg (11,656 바이트 ) : 강아지 사진
kiagen.exe (10,240 바이트)

error.jpg 는 강아진 사진을 포함하고 있으며 사용자에게 보여주는 사진이다.

사용자 삽입 이미지

번역기를 돌린 듯한 어색한 제목을보면 이번 악성코드 역시 국내를 노린 주변국에서 제작한 것으로 보인다.


지금까지 발견된 변형의 MD5 값은 다음과 같다.

5826919917d457acbcbc8d0692ca2625 dog2008.exe (159,130 바이트)
fab5139a9d7c7a82606ddd15c95c1eae ibosco.scr (159,131 바이트)
6cda928b0615fad9dc87401e5b5c7176 id_dog0704jpg.exe (159,130 바이트)
585204ab3734e831fbff7a125eb9a9d3   ?  (159,222 바이트)

[제거방법]

V3 외 백신(안티 바이러스) 프로그램을 사용하면 제거된다.
만약 새로운 변형일 경우 진단되지 않을 수 있으므로 업체에 연락하면 된다.


[관련기사]

- 네이트 '쪽지' 서비스 스파이웨어 감염돼

http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=01823686586472224&clkcode=00203&DirCode=0030503&curtype=read

(아직 현재 악성코드에 대한 정보가 공개되기 이전에 작성된 기사라 서비스 자체에 감염된게 아닌가하는 추정 기사가 나왔다.)
Posted by mstoned7

댓글을 달아 주세요