울지않는벌새 | 악성코드 유포 - MBC 게임
독도 광고 모금 캠페인
울지않는벌새 위치로그  |  태그  |  미디어로그  |  방명록
icon 악성코드 유포 - MBC 게임
벌새::Analysis | 2008/06/28 22:09
사용자 삽입 이미지

안녕하세요.

MBC 방송국에서 운영하는 MBC 게임(Game) 웹사이트가 변조되어 악성코드를 유포하고 있는 것을 확인하였습니다.
hxxp://61.82.71.36/index.htm
 - hxxp://61.82.71.36/h.exe

* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.

Kaspersky 진단명으로 추론해 보면 현재 변조된 국내 웹사이트에서 많이 진단되는 형태로 보입니다.
[index.htm]
Antivirus Version Last Update Result
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 HTML/Rce.Gen
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 -
AVG 7.5.0.516 2008.06.27 JS/Downloader.Agent
BitDefender 7.2 2008.06.28 Trojan.Script.2775
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.27 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 Downloader.Agent.nf
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 Trojan-Downloader.VBS.Agent.nf
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.27 Trojan-Downloader.VBS.Agent.nf
Ikarus T3.1.1.26.0 2008.06.28 -
Kaspersky 7.0.0.125 2008.06.28 Trojan-Downloader.VBS.Agent.nf
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 TrojanDownloader:HTML/Adodb.gen!A
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.28 -
Rising 20.50.42.00 2008.06.27 Trojan.DL.Win32.Small.tkn
Sophos 4.30.0 2008.06.28 Troj/JShlEx-A
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.27 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.27 Script.Rce.Gen
Additional information
File size: 3642 bytes
MD5...: af4c307ff52cce72c7e8f5bef229a6d5
SHA1..: 49974735ba8bf86d05c433e9b543c8bdcc29471a
SHA256: 71ea5946878d1e83fd839e4266d0041373f38b5d8561e896ab653b924b333507
SHA512: 1cf45f64360ea8c3caf8144ceb78baffa63c9dadcf46188a597309a568e9901d
68562ce3c2fbd1fc407004676895518e313030701bf502cae14d7901854944b0

사용자 삽입 이미지


해당 스크립트에서 다운로드 되는 파일은 온라인 게임 리니지의 정보를 탈취할 목적으로 제작된 것으로 보입니다.
[h.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 W32/Onlinegames.gen
Avast 4.8.1195.0 2008.06.28 Win32:Oliga
AVG 7.5.0.516 2008.06.28 PSW.OnlineGames.BR
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.28 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.28 -
DrWeb 4.44.0.09170 2008.06.28 Trojan.Nsanti.Packed
eSafe 7.0.17.0 2008.06.26 Suspicious File
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 W32/OnlineGames.AE.gen!Eldorado
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 W32/OnLineGames.fam!tr.pws
GData 2.0.7306.1023 2008.06.28 Trojan-GameThief.Win32.Nilage.dpn
Ikarus T3.1.1.26.0 2008.06.28 Virus.Win32.Oliga
Kaspersky 7.0.0.125 2008.06.28 Trojan-GameThief.Win32.Nilage.dpn
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 TrojanSpy:Win32/OnLineGames.ZDR
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.28 Suspicious file
Prevx1 V2 2008.06.28 Rootkit
Rising 20.50.52.00 2008.06.28 Packer.Win32.Mian007.a
Sophos 4.30.0 2008.06.28 Mal/EncPk-CE
Sunbelt 3.0.1176.1 2008.06.26 VIPRE.Suspicious
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 Mal_NSAnti-1
VBA32 3.12.6.8 2008.06.28 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 Win32.Malware.gen (suspicious)
Additional information
File size: 91857 bytes
MD5...: 91f0a841cd05337c6fb272e764e140f1
SHA1..: 2e21a4fa192b9bfe303e6f28a699935948c52f4d
SHA256: a9b7c1cc3e3d19224d554bdad52449d1417e662b81cb2acc8050cd6d1eb6eadf
SHA512: 715f6fc4a888f98ba7efc547aeac099285489899d71d5d1b480ae2ad5aa4d8d0
cfcb619f8674a743b0ce0f3efe069c5a25c723ef8945d2b8b9f2b955f2049ede

해당 실행 파일에 대한 분석 내용은 다음과 같습니다.
1. 파일 생성

%System%\drivers\windf.EXE
%System%\drivers\windf.hlp - 키보드 모니터링 기능

2. 프로세서 생성

windf.exe - %System%\drivers\windf.exe - 208,896 bytes

3. 타 프로세서에 모듈 삽입

windf.hlp - %System%\drivers\windf.hlp - Process name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x1930000 - 0x1954000

windf.hlp - %System%\drivers\windf.hlp - Process name: msmsgs.exe
Process filename: %ProgramFiles%\messenger\msmsgs.exe
Address space: 0xCC0000 - 0xCE4000

windf.hlp - %System%\drivers\windf.hlp - Process name: dllhost.exe
Process filename: %System%\dllhost.exe
Address space: 0x2570000 - 0x2594000

windf.hlp - %System%\drivers\windf.hlp - Process name: sdnsmain.exe
Process filename: %Windir%\dns\sdnsmain.exe
Address space: 0x1600000 - 0x1624000

windf.hlp - %System%\drivers\windf.hlp - Process name: IEXPLORE.EXE
Process filename: %ProgramFiles%\internet explorer\iexplore.exe
Address space: 0x1AF0000 - 0x1B14000

4. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - DF = "%System%\drivers\windf.exe"

해당 악성코드에 감염될 경우 윈도우 메신저, IE 상에서의 입력값들이 전부 외부로 유출되므로 주의하셔야 할 것 같습니다.

최근 Kaspersky에서 그 동안 사용해오던 온라인 게임 관련 진단명 Trijan-PSW.Win32.OnLineGames 에서 Trojan-GameThief.Win32.OnLineGames 으로 변경하였습니다.

단순한 변경으로 보일 수도 있지만, 변경된 이름에서와 같이 온라인 게임만을 노리는 악성코드의 범람으로 인해 분류를 강화한 것으로 보입니다.

온라인 게임이 단순한 게임성과 스트레스 해소에서 금전과 직업으로의 변화는 악성코드의 변화를 가져오고 있습니다.

온라인 게임이 만들어낸 어두운 사회 악의 한 단면 같습니다.
크리에이티브 커먼즈 라이선스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)

'벌새::Analysis' 카테고리의 다른 글

Kaspersky 오진 - Trojan-Downloader.Win32.Agent.vmp  (0) 2008/07/08
악성코드 유포 - 인터넷 서점 알라딘  (0) 2008/07/06
악성코드 유포 - 울산매일 신문  (2) 2008/07/04
악성코드 유포 - (주)시큐리티 트러스트 (Security Trust)  (4) 2008/06/29
Kaspersky 오진 - Trojan.Win32.StartPage.bhf  (0) 2008/06/29
악성코드 유포 - MBC 게임  (4) 2008/06/28
인터넷 명의도용 검색 서비스 - IDChecker  (6) 2008/06/27
악성코드 유포 - 쇼핑몰 쌈지(SSAMZIE)  (10) 2008/06/22
안랩(AhnLab) 스파이제로(SpyZero) 오진 - Win-Spyware/PWS.Egold.80608  (2) 2008/06/22
네이버(Naver) 교통 정보 지도 서비스는 스파이웨어(Spyware)?  (5) 2008/06/18
안랩(AhnLab) 스파이제로(SpyZero) 오진 - Win-Adware/Tuotu.5128192  (6) 2008/06/14

arrow 태그 : , , ,
arrow 트랙백0 | 댓글4
이 글의 관련글(트랙백) 주소 :: http://hummingbird.tistory.com/trackback/346
지나가다 2008/06/29 15:02 L R X
안녕하세요.
블로그의 글 잘 보고 있습니다...
가끔씩 들르던 사이트 인덱스에

<sc**pt src=hxxp://***.kadport.???/b.js></script><sc**pt src=hxxp://***.kadport.???/b.js></script></A>

[**=ri, ***=www, xx=tt, ???=com 입니다.]

위와 같이 이상한 코드가 삽입되어있던데.
이것도 그동안 분석해주시던 문제점과 비슷해보여서
글 적었습니다.
mark
BlogIcon 벌새 2008/06/29 15:20 L X
감사합니다.^^

알려주신 부분을 확인해 보니 국내 모보안업체 사이트도 삽입되어 있는 부분이 있더군요.

한 번 살펴보도록 하겠습니다.
함태훈 2008/07/01 00:46 L R X
이거 어떻게 하면 처리할수 있나요?

계속 인터넷 오류가 뜨네요.

네이버pc그린은 계속 치료하고;;

ggangsen@naver.com으로 좀 알려주시기 바랍니다.ㅠㅜ
mark
BlogIcon 벌새 2008/07/01 01:08 L X
덧글로 남기겠습니다.

피씨그린이 해당 악성코드를 진단하는 경우에는 반드시 모든 프로그램을 닫고 치료를 하시기 바랍니다.

가장 추천하는 방법은 안전모드로 윈도우에 진입하여 인터넷 랜선을 잠시 뽑은 상태에서 보안제품으로 시스템 전체 검사를 하여 치료하는 것입니다.

또한 개인적으로는 감염된 컴퓨터의 경우 다른 보안제품 하나 더 설치하여 확인하는 방법도 추천합니다. 보안 제품 2개를 설치하기 꺼리는 경우에는 마이폴더넷에 가시면 닥터웹에서 나온 무료버전이 있습니다. 설치형이 아닌 실행형 파일이므로 성능도 좋을 것입니다.

성공하시길 바랍니다.

더 궁금하신 점은 네이버 보안 카페 http://cafe.naver.com/malzero 에서 해결하시기 바랍니다.

아이디 :
비밀번호 :
홈페이지 :
  비밀글로 등록
내용 :
 



[PREV] [1] ... [120][121][122][123][124][125][126][127][128] ... [447] [NEXT]
관리자  |   글쓰기
BLOG main image
울지않는벌새가 되고 싶은 나..
- 로그인을 하지 않아도 댓..
 Category
분류 전체보기 (447)
벌새::Analysis (89)
벌새::Computer (29)
벌새::Copy (10)
벌새::Education (6)
벌새::Life (31)
벌새::Movie (123)
벌새::Music (4)
벌새::Secuity (98)
벌새::Sites (4)
벌새::Thinking (39)
벌새::Utilities (14)
 TAGS
 Recent Entries
 Recent Comments
 Recent Trackbacks
 Calendar
 Archive
 Link Site
 Visitor Statistics
Total : 165203
Today : 344
Yesterday : 2016
0
믹시추적버튼-이 블로그의 인기글을 실시간 추적중입니다.
블로그코리아
web tracker

rss
위치로그 : 태그 : 방명록 : 관리자
벌새's Blog is powered by Daum / Designed by plyfly.net