반응형
국내 스포츠 연예 관련 사이트에서 마이크로소프트(Microsoft) Internet Explorer에서 발견된 초기화되지 않은 메모리 손상 취약점(CVE-2010-0806)을 이용한 악성 스크립트를 통해 온라인 게임 계정 정보를 탈취할 목적으로 악성코드가 유포되고 있는 것을 확인할 수 있었습니다.
참고로 해당 취약점에 대하여 MS10-018 보안 패치가 이미 공개된 상태이므로 해당 패치를 설치하지 않은 사용자는 시스템 감염이 이루어질 수 있습니다.
[악성코드 유포 경로]
h**p://www.goodday******.co.kr/js/top/mbanner.js
ㄴ h**p://222.***.78.**/T.asp : avast! : JS:CVE-2010-0806-AG (VirusTotal : 16/43)
ㄴ h**p://www.mentor*****.co.kr/media/swf/hi.exe
h**p://www.goodday******.co.kr/js/top/mbanner.js
ㄴ h**p://222.***.78.**/T.asp : avast! : JS:CVE-2010-0806-AG (VirusTotal : 16/43)
ㄴ h**p://www.mentor*****.co.kr/media/swf/hi.exe
변조된 해당 사이트에 접속을 시도할 경우 T.asp 악성 스크립트를 통해 보안 패치가 적용되지 않은 사용자는 중앙일보에서 운영하는 숙주 서버에서 hi.exe (MD5 : ea03d79a865f0465a3e41b8d3b0cb263) 파일을 다운로드하도록 구성되어 있습니다.
참고로 hi.exe 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Sasfis (VirusTotal : 27/43) 진단명으로 진단되고 있습니다.
[생성 파일 등록 정보]
C:\WINDOWS\Tasks\conime.exe : 자가 복제
[시작 프로그램 등록 정보]
(수정 전)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe,
(수정 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\Tasks\conime.exe"
C:\WINDOWS\Tasks\conime.exe : 자가 복제
[시작 프로그램 등록 정보]
(수정 전)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe,
(수정 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\Tasks\conime.exe"
감염된 시스템에서는 conime.exe 파일을 생성하여 시작 프로그램으로 등록하여 시스템 시작시 자동 실행하도록 구성되어 있습니다.
[추가 다운로드 경로]
h**p://www.plaync***.com/d.txt
ㄴ h**p://festival2.coco***.com/info/images/hi.exe
h**p://www.plaync***.com/d.txt
ㄴ h**p://festival2.coco***.com/info/images/hi.exe
conime.exe 파일은 최종적인 목표인 온라인 게임 계정 정보를 수집하기 위하여 추가적으로 특정 서버에 접속하여 또 다른 hi.exe (MD5 : ceca122d001dffe4a845529fff8a65b8) 파일을 다운로드를 시도하며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.
[생성 파일 등록 정보]
C:\WINDOWS\system32\wktkt.exe : 자가 복제
[시작 프로그램 등록 정보]
(수정 전)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe,
(수정 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,wktkt.exe"
C:\WINDOWS\system32\wktkt.exe : 자가 복제
[시작 프로그램 등록 정보]
(수정 전)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe,
(수정 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,wktkt.exe"
hi.exe 파일은 Windows 시스템 폴더에 wktkt.exe 파일로 복제가 이루어지며, 레지스트리에 자신을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
해당 악성코드는 사용자가 온라인 게임 계정에 로그인을 시도할 경우 정보를 수집하여 미국에 위치한 특정 서버로 정보를 유출하는 동작이 있습니다.
이처럼 이미 공개된 보안 패치를 설치하지 않는 사용자는 방문자가 많은 특정 인터넷 사이트 접속으로 개인정보가 외부로 유출될 수 있으므로 반드시 보안 패치를 모두 설치하는 습관을 가지시기 바라며, 신뢰할 수 있는 보안 제품을 이용하여 시스템을 보호하시기 바랍니다.
특히 특정 사이트 방문시 악성 스크립트를 진단하게 되는 경우 해당 사이트의 문제가 해결될 때까지 당분간 접속을 금하시는 것이 보안상 안전합니다.
728x90
반응형