네이트온 악성코드는 지금도 ing......

1. 네이트온 악성코드는 지금도 ing......

  네이트온 악성코드는 우리의 기억에서 잊혀질 만하면 낚시사진<?>과 함께 변종이 1 ~ 2개정도가 출현하여 우리를 괴롭힌다. 옛말에 지피지기(知彼知己)면 백전백승(百戰百勝)이란 말이 있다. 즉 적을 알고 나를 알면 백 번 싸워서 백 번 승리한다는 말인데, 네이트온 악성코드 괴롭힘으로부터 탈출 그리고 감염 시 대처방법에 대해서 알려면 네이트온 악성코드가 어떻게 동작하고 감염 시 어떤 피해가 있는지 알아볼 필요가 있지 않을까?

2. 네이트온 악성코드, 넌 어디서 왔니?

  네이트온 악성코드는 아래 그림처럼 네이트온 쪽지를 통해서 유포되며, 무심코 링크를 클릭하면 악성코드가 PC로 다운로드 된다. 

또한 RAR로 압축된 형식의 파일을 전송하여 상대방이 다운로드 하도록 유도합니다. 참고로, 아래 리스트는 네이트온으로 배포된 악성파일이 포함된 rar 압축파일명 리스트 중 일부 리스트이며 파일명은 고정적이지 않고 랜덤한 파일명입니다.

mesxd213eck.rar
jpgssst.rar
kdeggshfahf.rar
mabkddhs.rar
xsbnfbn.rar
...

3. 네이트온 악성코드, PC에선 무슨 일이?

  salarboss.exe는 폴더아이콘을 사용하여 마치 폴더인 것처럼 그리고 실행하면 사용자가 의심하지 않도록 아래처럼 그림을 보여줌으로써 마치 사진파일인 것처럼 위장하지만 백그라운드에서는 악성코드인 ktmble.exe가 실행된다.

ktmble.exe가 실행되면 아래 그림에서 보는 것처럼 하나의 파일로부터 기능 및 목적에 맞게 여러 파일을 생성한다.

위 그림을 통해서 여러 파일을 생성한다는 것을 알 수 있지만 생성되는 여러 파일들 중에 정작 주목해야할 파일은 Baidog.dat파일이다. 해당 파일은 [그림 3]에서 보는 것처럼 던전&파이터, 넥슨, 네이트온 사용자의 계정정보를 특정 사이트로 유출시키므로 악의적인 사용자에 의해서 악용될 소지가 높다.

참고로 위 그림에서 %WINDIR%은 윈도우 OS에서 Windows폴더에 대한 환경변수로 윈도우 OS마다 경로가 조금씩 다르다. 예를 들면 윈도우 NT/2000에서는 C:\WINNT이며, Windows XP/Vista/7/2003/2008은 C:\Windows이다.

 

지금까지 네이트온 악성코드 감염으로 인해서 발생할 수 있는 피해에 대해서 간단하게 알아봤다.

자 그럼 지금부터 피해자 관점에서 어떻게 하면 감염된 네이트온 악성코드를 처리할 수 있는지 알아보자.

 

3. 네이트온 악성코드, 내 PC에 떠나거라!

  (1) V3를 이용한 치료

    salarboss.exe는 Dropper/Agnet.252279(V3:2010.04.13.00)로 그리고 드롭퍼가 생성한 추가 파일들도 V3에서 진단 및 치료가 가능하므로 최신 엔진으로 업데이트 후 수동검사로 치료한 후 재 부팅을 한다.

 

  (2) 수동삭제

    안전모드로 부팅한 후 수동으로 아래 파일을 삭제하거나 IceSword나 GMER를 사용하여 네이트온 악성코드를 삭제할 수가 있다.

4. 네이트온 악성코드의 에필로그

  지금까지 일반 사용자 입장에서 쉽게 이해가 되도록 네이트온 악성코드에 대해서 기술하였는지 잘 모르겠지만 아무쪼록 이 정보가 일반 사용자들에게 많은 도움이 되었으면 하는 바램이다. 모든 일에 기본이 중요하듯이 악성코드 감염을 예방하는 것도 기본만 준수하면 된다. 그건 귀에 못이 박히도록 강조했던 기본 보안수칙만 잘 지킨다면 악성코드로부터 안전하다.

 

네이트온으로 수상한 쪽지를 받았다면 상대방에게 "이건 뭐니?"하고 물어보는 센스를 가진 당신은 멋쟁이!~~~

                                                                                                                                 By Ahnmaru