12345

1/24/2011

Be careful on malicious file aiming at web vulnerability.

1. Introduction

Recently, "Nateon(Instant messenger of Nate)" malicious file, which was being spread through instant messenger or message, is now inducing user to certain internet forum and using web browser's vulnerability.
Its spreading technique is more sophisticated and sophisticated.


Nate is a South Korean web portal, developed by SK Telecom. In 2003, Nate acquired the online community service Cyworld, and in 2004, it achieved first place in local page views with a total of 3.8 million, surpassing rival Daum for the first time.

2. Spreading path and symptoms of infection

Infected user will send message including malicious link.
If uninfected user clicks that link, depending on the applied status of Microsoft security patch, and web brower(Internet Explorer, Firefox).

Message contains certain URL and user can access with clicking that link.





This forum consists of malicious html files.
Furthermore, this forum is deduced from the exposure of zeroboard vulnerability

zboard.php(before decoded)



zboard.php(decoded)



pop.html, top.html files are including following JavaScript code.






main.html(decoded)
Decoded script contains malicious URL as following.



kr1.html will download malicious 38.jpg file with using vulnerability of MS10-018, kr2.html will use MS09-002's.



Following figure is decoded Script file of kr1.html, kr2.html. We can find malicious URL.



User can access to ff10.htm from in.js.



ff10.htm can perform malicious behavior with using vulnerability of certain web browser.



On certain web browser, it can download cosplay.swf.



Downloaded cosplay.swf seems to be normal Flash file, however, it contains malicious code and can download malicious 38.jpg file.



38.jpg file will perform malicious behavior.


Downloaded 38.jpg will create files on following path.

[Generated files]
C:\WINDOWS\system\winpingying.ime
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lins.log
C:\WINDOWS\system\winweng.exe

[Register registry value for on booting]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- Value name : "Default"
- Value data : "C:\WINDOWS\system\winweng.exe"

winweng.exe generated by 38.jpg.exe will kill certain Anti-Virus program. Besides, it will run winweng.exe to kill following Anti-Virus Softwares on every booting.

- AhnLab (V3)
- EstSoft (ALYAC)
- Virus Chaser
- Kaspersky

Besides, this malicious file can perform malicious behavior with injecting winpingying.ime on iexplorer.exe, including stealing online game account as following games.

- Maplestory
- Aion
- Hangame
- Pmang
- Lineagea1
- Lineagea2
- Mabinogi
- DNF

4. How to prevent

Since this kind of malicious file can perform on internet and can cause financial damage, latest patch including MS Windows is essential.
To use PC safely from security threats of these malicious attachments, we recommend following "Security management tips" for general users.

Security management tips

1. Maintain the latest security update on OS and applications
2. Use anti-virus SW from believable security company and keep updating the latest engine and using real time detecting function “ON”
3. Do not see and download attached file from suspicious e-mail.
4. Keep caution to link from instant messenger and SNS.
5. Execute downloaded file after scan with anti-virus SW.

INCA Internet (Security Response Center / Emergency Response Team) provides diagnosis/treatment function with nProtect Anti-Virus/Spyware for detecting such as malicious file stated above and runs responding system against various security threats.

1 comment:

  1. Lúc này, Lâm Huyền thanh âm cũng là lặng lẽ truyền tới mà đến Tiêu Viêm trong tai "Tiêu Viêm, ngươi cũng nói bậy a, ngươi nếu là nói sai rồi, ta thế nhưng cũng bảo không được ngươi, ngươi phải biết rằng, hiện tại Lâm Gia, ta hầu như không làm chủ được..."

    "Không cần, ta có nắmdongtam
    game mu
    http://nhatroso.net/
    http://nhatroso.com/
    nhạc sàn
    tư vấn luật
    dịch vụ thành lập công ty trọn gói
    công ty luật
    tổng đài tư vấn pháp luật
    thành lập công ty
    http://we-cooking.com/
    chém gió
    trung tâm ngoại ngữ chặt!" Cấp Lâm Huyền đáp lại một tiếng lúc, Tiêu Viêm cũng là chậm rãi chuyển qua đây, quay người trước, cũng chính là kia vị cô họ lão giả chắp tay, đạo "Tiền bối, ta cùng Lâm Huyền là bạn vong niên, lúc này đây là qua đây hoàn thành năm đó ước định đến, sở dĩ ta mới có thể qua đây, tôn ngươi một tiếng tiền bối, thế nhưng, ta một ... không ... Là ngươi nga Tứ Huyết Chi Địa nhân, canh hai điều không phải ngươi Lâm Gia nhân, ngươi dựa vào cái gì đến chỉ huy ta, quát lớn cùng ta? Ta đi ra nói cho ta biết tự mình biết đạo tin tức, kia cũng là nhìn tại Lâm Huyền đại ca mặt mũi lên, mà cũng không phải ngươi!"

    Nghe được Tiêu Viêm nhàn nhạt thanh âm, kia Lâm Huyền cũng là quá sợ hãi, vội vã đi tới, quay kia thủ vị lên kia cô họ lão giả đạo "Trưởng lão, Tiêu Viêm chính một cái mới ra đời nhân, cái gì cũng đều không hiểu, sở dĩ, ngài nhiều hơn thứ lỗi!"

    ReplyDelete