728x90
반응형
추석 명절을 맞아 국내 특정 웹 사이트들을 변조하여 악성코드를 유포하는 것을 확인하였습니다.
해당 P 사용자 모임 메인 페이지에서는 악성코드 유포 행위를 발견할 수 없지만, 게시판에 접속을 하면 그림과 같이 마이크로소프트(Microsoft)에서 제공하는 ActiveX 설치창을 확인할 수 있습니다.
해당 악성코드는 최종적인 목표는 H.exe 파일을 사용자 컴퓨터에 감염시켜 온라인 게임 관련 정보를 탈취할 목적으로 제작되어 있는 것으로 보입니다.
실제 파일을 다운로드하는 서버가 국내 웹 사이트에 업로드된 악성코드를 다운로드하는 방식이며, 일부 악성코드는 8월경부터 활동하던 것으로 추정됩니다. 하지만 H.exe 파일에 대한 보안제품의 진단은 거의 이루어지지 않고 있으므로 감염시 피해가 예상됩니다.
일반적으로 온라인게임, PSW(Password) 관련 악성코드에 감염된 사용자는 악성코드 치료를 하신 후에는 반드시 자신이 가입한 모든 사이트의 비밀번호를 교체하시는 것이 안전합니다.
해당 P 사용자 모임 메인 페이지에서는 악성코드 유포 행위를 발견할 수 없지만, 게시판에 접속을 하면 그림과 같이 마이크로소프트(Microsoft)에서 제공하는 ActiveX 설치창을 확인할 수 있습니다.
- Microsoft 보안 공지 MS06-014 : MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562)
[악성코드 유포 경로]
h**p://www.happy***.com/index.htm
- h**p://www.happy***.com/gsheng.jpg (AhnLab : HTML/Agent)
-> h**p://www.happy***.com/bb.jpg (nProtect : Script/W32.Agent.BU)
-> h**p://www.happy***.com/bb1.jpg (Avast : JS:ShellCode-BM)
->> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)
-> h**p://www.happy***.com/bb2.jpg
-> h**p://www.happy***.com/bb3.jpg (nProtect : Script/W32.Agent.CY)
-> h**p://www.happy***.com/bb4.jpg (nProtect : Script/W32.Agent.DB)
- h**p://www.happy***.com/help.asp (Kaspersky : Trojan-Downloader.JS.Agent.eea)
-> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)
h**p://www.happy***.com/index.htm
- h**p://www.happy***.com/gsheng.jpg (AhnLab : HTML/Agent)
-> h**p://www.happy***.com/bb.jpg (nProtect : Script/W32.Agent.BU)
-> h**p://www.happy***.com/bb1.jpg (Avast : JS:ShellCode-BM)
->> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)
-> h**p://www.happy***.com/bb2.jpg
-> h**p://www.happy***.com/bb3.jpg (nProtect : Script/W32.Agent.CY)
-> h**p://www.happy***.com/bb4.jpg (nProtect : Script/W32.Agent.DB)
- h**p://www.happy***.com/help.asp (Kaspersky : Trojan-Downloader.JS.Agent.eea)
-> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)
해당 악성코드는 최종적인 목표는 H.exe 파일을 사용자 컴퓨터에 감염시켜 온라인 게임 관련 정보를 탈취할 목적으로 제작되어 있는 것으로 보입니다.
실제 파일을 다운로드하는 서버가 국내 웹 사이트에 업로드된 악성코드를 다운로드하는 방식이며, 일부 악성코드는 8월경부터 활동하던 것으로 추정됩니다. 하지만 H.exe 파일에 대한 보안제품의 진단은 거의 이루어지지 않고 있으므로 감염시 피해가 예상됩니다.
[H.exe 파일 정보]
1. 파일 생성
%Windir%\AhnRpta.exe
%System%\e8main0.dll
2. 프로세스 생성
AhnRpta.exe / iexplore.exe
3. 타 프로세스에 e8main0.dll 모듈 삽입
4. 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-4526-8C08-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-8C08-4526-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
- {BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"
5. 특정 서버로부터 추가 악성코드 다운로드
1. 파일 생성
%Windir%\AhnRpta.exe
%System%\e8main0.dll
2. 프로세스 생성
AhnRpta.exe / iexplore.exe
3. 타 프로세스에 e8main0.dll 모듈 삽입
4. 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-4526-8C08-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-8C08-4526-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
- {BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"
5. 특정 서버로부터 추가 악성코드 다운로드
일반적으로 온라인게임, PSW(Password) 관련 악성코드에 감염된 사용자는 악성코드 치료를 하신 후에는 반드시 자신이 가입한 모든 사이트의 비밀번호를 교체하시는 것이 안전합니다.
728x90
반응형