인터넷을 검사해보면 2008년 6월 30일부터 네이트온 쪽지로 다음과 같은 유형의 쪽지가 보내졌다.

안철수연구소는 2008년 7월 2일부터 조금씩 문의가 오기 시작했지만 정확한 샘플이 들어오지는 않았고 7월 4일 처음 샘플이 접수되었다.

&#-9;당신에게 매우 흥미로운 내가 찍은 사진을 보냅니다. http://<주소 생략>
&#-9;우리집에 애완견인데 이뻐요 ? http://<주소 생략>&#-9;

네이트온 쪽지로 보내진 악성코드 - 나티스(Natice)

사용자가 그림을 클릭하면 해킹된 웹 서버로 접속되며 실행 파일을 다운로드 한다.

WinRAR SFX 파일로 4개 파일을 포함하고 있다.

26.exe (27,091 바이트) :
80.exe (82,432 바이트)
error.jpg (11,656 바이트 ) : 강아지 사진
kiagen.exe (10,240 바이트)

error.jpg 는 강아진 사진을 포함하고 있으며 사용자에게 보여주는 사진이다.

번역기를 돌린 듯한 어색한 제목을보면 이번 악성코드 역시 국내를 노린 주변국에서 제작한 것으로 보인다.


지금까지 발견된 변형의 MD5 값은 다음과 같다.

5826919917d457acbcbc8d0692ca2625 dog2008.exe (159,130 바이트)
fab5139a9d7c7a82606ddd15c95c1eae ibosco.scr (159,131 바이트)
6cda928b0615fad9dc87401e5b5c7176 id_dog0704jpg.exe (159,130 바이트)
585204ab3734e831fbff7a125eb9a9d3   ?  (159,222 바이트)

[제거방법]

V3 외 백신(안티 바이러스) 프로그램을 사용하면 제거된다.
만약 새로운 변형일 경우 진단되지 않을 수 있으므로 업체에 연락하면 된다.

다음은 하우리에서 퍼온 내용

Dropper.PSWIGames.159222별칭분류기타활동범위윈32파괴/확산 등급 특정활동일없음확산방법메신저대표적 증상 레지스트리 변경, 메시지 전송, 정보유출
    , 파일생성, 화면출력, 트로이 목마 설치
    , 악성코드 설치제작국가이탈리아암호화여부비암호화감염위치파일시스템 메모리
상주여부 비상주발견일[국내] 2008/07/06
[해외] 불분명엔진버전2008-07-07
[진단, 치료 가능]
내용[전체 요약]
국내 유명 메신저인 네이트온의 쪽지 전송 기능을 통해 전파된다.
특정 온라인 게임 및 포털 사이트 접속 시 사용자의 개인정보를 절취한다.

[확산 방법]
국내 유명 메신저인 네이트온의 쪽지 전송 기능을 통해 전파된다.

[감염 후 증상]
1. 네이트온의 쪽지로 다음과 같은 메시지를 통해 전파된다.

   우리집에 애완견인데 이뻐요 ?
   http://(생략)/img/?kia(생략).jpg

   당신에게 매우 흥미로운 내가 찍은 사진을 보냅니다.
   http://(생략)/img/title/?kia(생략).jpg

2. 해당 URL을 클릭하게 되면 RAR로 실행압축된 실행파일이 다운된다.

3. 파일을 실행할 경우 다음의 그림이 보여진다.

  

4. 다음의 파일들이 생성된다.

   (윈도우 시스템 폴더)\serfarcp.dll
   (윈도우 시스템 폴더)\coinme.exe
   (윈도우 시스템 폴더)\drivers\windf.exe
   (윈도우 시스템 폴더)\drivers\windf.hlp
   (윈도우 시스템 폴더)\nwizsys32.exe
   (윈도우 시스템 폴더)\nwizsys32.dll

5. 다음의 레지스트리를 수정하여 시스템 재 시작시에 자동 실행되도록 한다.

   [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="(윈도우 시스템 폴더)\coinme.exe"

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\Explorer\Run]
"DF"="(윈도우 시스템 폴더)\drivers\windf.exe"

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{683f21A6-DAAD-30A4-5ACD-D96750A35C28}]
"StubPath"="(윈도우 시스템 폴더)\nwizsys32.exe 1"

6. wsock32.dll의 send 함수를 후킹하여 사용자의 개인정보(특정 온라임 게임 및 포털 사이트)를 절취한 후 해커에게 전송한다.


치료방법[치료 방법]

1. WinXP/ME 사용자라면 시스템 복원 기능을 비활성화 한다. 시스템 복원 비활성화 방법 (WinXP)
시스템 복원 비활성화 방법 (WinME)시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455)에서 확인할 수 있다.

2. 백신 엔진을 최신으로 업데이트 한다.
이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다. 바이로봇 정식 사용자의 경우 :
홈페이지를 통해 업데이트
제품군을 통해 업데이트
바이로봇을 사용하지 않는 일반 고객 :
라이브콜(무료검사) 사이트를 이용한 바이러스 검사
바이로봇 7일 평가판 설치후 바이러스 검사3. 바이러스 검사를 한다. 바이로봇을 실행하여, 검사 옵션에서 모든 파일 검사로 한다.
바이로봇 Expert 4.0 : [편집]->[환경설정]->[검사] : 모든파일 체크
바이로봇 Desktop 5.0 : [도구]->[환경설정]->[바이러스 검사] : 모든 파일 체크
라이브콜(무료검사) : [고급검사] : 체크
발견되는 모든 바이러스에 대해서 치료한다.
[재부팅 후 자동 치료] 메시지가 나타났다면 재부팅을 한 후에 다시 검사한다.