728x90
반응형
최근 미국(USA)에 위치한 서버에 악성 파일을 등록하고 국내 광고 서버, 웹하드, 언론사 등 다양한 인터넷 서비스를 해킹하여 온라인 게임 계정 정보를 탈취하는 활동이 확인되고 있습니다.
이들 악성코드 유포에는 2010년에 알려진 Internet Explorer 보안 취약점을 이용하여 보안 패치가 적용되지 않은 사용자가 특정 인터넷 사이트에 접속시 감염이 유발되므로 주의가 요구됩니다.
이들 악성코드 유포에는 2010년에 알려진 Internet Explorer 보안 취약점을 이용하여 보안 패치가 적용되지 않은 사용자가 특정 인터넷 사이트에 접속시 감염이 유발되므로 주의가 요구됩니다.
[악성코드 유포 경로]
h**p://204.***.243.***:89/file/code.js
ㄴ h**p://204.***.243.***:89/file/vtyep.htm
ㄴ h**p://images.stmai***.com/images/785315637.Jpg
ㄴ h**p://204.***.243.***:89/file/veuoa.htm
ㄴ h**p://images.stmai***.com/images/785315637.Jpg
ㄴ h**p://204.***.243.***:89/file/rospt.html
ㄴ h**p://count22.51yes.com/click.aspx?id=220000494&logo=6
h**p://204.***.243.***:89/file/code.js
ㄴ h**p://204.***.243.***:89/file/vtyep.htm
ㄴ h**p://images.stmai***.com/images/785315637.Jpg
ㄴ h**p://204.***.243.***:89/file/veuoa.htm
ㄴ h**p://images.stmai***.com/images/785315637.Jpg
ㄴ h**p://204.***.243.***:89/file/rospt.html
ㄴ h**p://count22.51yes.com/click.aspx?id=220000494&logo=6
광고 코드에 포함된 code.js 악성 스크립트는 추가적으로 vtyep.htm / veuoa.htm / rospt.html 3개의 iframe으로 구성되어 있습니다.
vtyep.htm 파일은 CVE-2010-0806 취약점을 이용하여 MS10-018 보안 패치가 적용되지 않은 PC의 경우 자동으로 감염이 이루어집니다.
veuoa.htm 파일은 CVE-2010-3962 취약점을 이용하여 2010년 12월에 공개된 MS10-090 Internet Explorer 누적 보안 업데이트 패치가 적용되지 않은 PC의 경우 자동으로 감염됩니다.
만약 감염이 이루어진 PC에서는 785315637.jpg (MD5 : 3aff378e855afc47f7812d2f3ad92505) 파일을 다운로드하여 시스템에 악성 파일을 등록하며, 해당 파일에 대하여 Kaspersky 보안 제품에서는 Packed.Win32.Klone.bq (VirusTotal : 12/43) 진단명으로 진단되고 있습니다.
[생성 폴더 / 파일 / 레지스트리 등록 정보]
C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.dll :: 시작 프로그램 등록 파일
- Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 14/43)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- snlogins = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.dll", DLaunchC
C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.dll :: 시작 프로그램 등록 파일
- Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 14/43)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- snlogins = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.dll", DLaunchC
사용자가 감염된 상태에서 시스템 재부팅이 이루어지면 시작 프로그램으로 등록된 snlogins.dll 파일은 rundll32.exe 프로세스에 추가되어 실행되는 과정에서 미국에 위치한 특정 서버(h**p://96.**.169.*:61688/img/img.txt)에서 letfortion.exe 파일을 다운로드하여 시스템 폴더에 WFCO0FAT.exe 파일로 자가 복제를 합니다.
[생성 파일 등록 / 진단 정보]
C:\WINDOWS\system32\WFCO0FAT.exe :: 숨김(H), 읽기(R) 속성 / 시작 프로그램 등록 파일 (MD5 : ff50cc1cdd86002cf6a976b1d1261d77)
- Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 7/43)
C:\WINDOWS\system32\WFCO0FAT10.dll :: 숨김(H), 읽기(R) 속성 (MD5 : 38816a206196ecb95fef8ef745fa31e7)
- Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 11/43)
C:\WINDOWS\system32\WFCO0FAT20.dll :: BHO 등록 파일 (MD5 : 03b00890710a76b6a58f5cd075b0542b)
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 15/43)
C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.log
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj
HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1
HKEY_CLASSES_ROOT\Interface\{94AC7941-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CLASSES_ROOT\TypeLib\{94AC7948-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WFCO0FAT = C:\WINDOWS\system32\WFCO0FAT.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}
C:\WINDOWS\system32\WFCO0FAT.exe :: 숨김(H), 읽기(R) 속성 / 시작 프로그램 등록 파일 (MD5 : ff50cc1cdd86002cf6a976b1d1261d77)
- Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 7/43)
C:\WINDOWS\system32\WFCO0FAT10.dll :: 숨김(H), 읽기(R) 속성 (MD5 : 38816a206196ecb95fef8ef745fa31e7)
- Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 11/43)
C:\WINDOWS\system32\WFCO0FAT20.dll :: BHO 등록 파일 (MD5 : 03b00890710a76b6a58f5cd075b0542b)
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 15/43)
C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.log
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj
HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1
HKEY_CLASSES_ROOT\Interface\{94AC7941-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CLASSES_ROOT\TypeLib\{94AC7948-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WFCO0FAT = C:\WINDOWS\system32\WFCO0FAT.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}
생성된 파일 중 WFCO0FAT.exe 파일은 시작 프로그램으로 등록하여 자동 실행되며, WFCO0FAT20.dll 파일은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 BHO 방식으로 등록되어 정보 유출을 담당합니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
IEHlprObj Class
- 게시자 : 알 수 없음
- CLSID : {94AC7942-7BE1-4FB9-A7CA-67CD88362758}
- 파일 : C:\WINDOWS\system32\WFCO0FAT20.dll
IEHlprObj Class
- 게시자 : 알 수 없음
- CLSID : {94AC7942-7BE1-4FB9-A7CA-67CD88362758}
- 파일 : C:\WINDOWS\system32\WFCO0FAT20.dll
그러므로 이런 방식의 악성코드에 감염되지 않는 기본적인 보안 정책은 반드시 공개된 보안 패치를 모두 설치하시고 인터넷을 이용하시기 바라며, 감염이 의심될 경우에는 절대로 인터넷 사이트 로그인을 하지 말고 보안 제품을 이용하여 정밀 검사 및 치료를 하시기 바랍니다.
만약 로그인 동작이 있었을 경우에는 치료 후 반드시 회원 가입 사이트 비밀번호를 교체하는 것이 제2의 피해를 예방할 수 있습니다.
만약 수동으로 해당 악성코드를 제거하기 위해서는 작업 관리자에서 rundll32.exe 프로세스 수동 종료 및 모든 Internet Explorer를 종료한 상태에서 생성 폴더(파일), 레지스트리를 찾아 수동으로 삭제하시기 바랍니다.
728x90
반응형