울지않는벌새 | 악성코드 유포 - (주)시큐리티 트러스트 (Security Trust)
독도 광고 모금 캠페인
울지않는벌새 위치로그  |  태그  |  미디어로그  |  방명록
icon 악성코드 유포 - (주)시큐리티 트러스트 (Security Trust)
벌새::Analysis | 2008/06/29 16:05
사용자 삽입 이미지사용자 삽입 이미지

안녕하세요.

해외 유명 보안제품 Sophos를 국내에서 총판하고 있는 (주)시큐리티 트러스트 웹사이트가 변조되어 악성코드를 유포하고 있는 것을 확인하였습니다.

hxxp://www.kadport.com/b.js - B25A1D317748D8DBC1BC760226FF75B2
 - iframe 삽입 : hxxp://suppadw.com/cgi-bin/index.cgi?ad
  -> Redirect : hxxp://xpsecuritycenter.com/landing/2/?wmid=1041&p=2&l=14&it=1&s=c6afff8f7552c424c35334de1d11cb86
   ->> hxxp://xpsecuritycenter.com/install/Installer.exe

b.js - A65F2AED8296187CFC8EFEC96566E3DA (해당 파일 위치 확인 실패)
 - iframe 삽입 : hxxp://supbnr.com/cgi-bin/index.cgi?ad
  -> hxxp://xpsecuritycenter.com/landing/2/?wmid=1041&p=2&l=14&it=1&s=c6afff8f7552c424c35334de1d11cb86

* 해당 악성코드는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.

사이트가 변조된 방식은 SQL Injection 공격을 받아 js 파일이 게시판에 삽입된 것으로 보입니다.

js 파일은 iframe을 삽입하였으며 해당 링크로 연결되면 다시 리다이렉트 방식을 통해 해외에서 제작된 허위 보안 제품을 다운로드하게 만드는 방식입니다.

최종 목적이 감염된 컴퓨터가 마치 악성코드에 감염된 것으로 착각하게 만들어 금전 결제를 하도록 만드는 방식입니다.

사용자 삽입 이미지사용자 삽입 이미지

더 자세하게 살펴보겠습니다.

[b.js]
File Size      : 408 byte
File Type      : ASCII text, with CRLF, LF line terminators
MD5            : b25a1d317748d8dbc1bc760226ff75b2
SHA1           : fddac2382bb3ca38e5e1727b15b483f71404372e
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.18        2008.06.28        2008-06-28  3.61   -
안랩V3         2008.06.28.00   2008.06.28        2008-06-28  2.25   -
AntiVir        7.8.0.59        7.0.5.18          2008-06-28  16.69  HEUR/HTML.Malware
Arcavir        1.0.4           200806281124      2008-06-28  7.54   -
아바스트       1.0.8           080628-0          2008-06-28  17.26  -
AVG            7.5.51.442      270.4.3/1524      2008-06-28  10.91  -
비트디펜더     7.60825.1287097 7.19768           2008-06-29  23.86  Trojan.IFrame.DR
CA (VET)       9.0.0.143       31.6.5911         2008-06-27  1.90   -
클램AV         0.93            7554              2008-06-25  0.00   -
코모도         2.11            2.0.0.569         2008-06-28  1.88   -
CP Secure      1.1.0.715       2008.06.29        2008-06-29  33.09  -
닥터 웹        4.44.0.9170     2008.06.28        2008-06-28  35.76  -
ewido          4.0.0.2         2008.06.27        2008-06-27  4.22   -
F-Prot         4.4.1.52        20080628          2008-06-28  12.29  JS/Agent.GI (exact)
에프시큐어     5.51.6100       2008.06.29.01     2008-06-29  37.58  Trojan-Downloader.JS.Agent.ccv [AVP]
포티넷         2.81-3.11       0.0               2008-06-29  1.92   -
바이로봇       20080627        2008.06.27        2008-06-27  1.89   -
이카루스       T3.1.01.26      2008.06.28.70999  2008-06-28  18.97  -
지앙민         11.0.706        2008.06.17        2008-06-17  3.12   -
카스퍼스키     5.5.10          2008.06.29        2008-06-29  0.15   Trojan-Downloader.JS.Agent.ccv
킹소프트       2008.1.14.15    2008.6.29.15      2008-06-29  2.10   -
맥아피         5.2.00          5327              2008-06-27  10.34  -
Microsoft      1.3604          2008.06.25        2008-06-25  5.98   Trojan:JS/Redirector.N
mks_vir        2.01            2008.06.29        2008-06-29  13.91  -
노만           5.92.08         5.92.00           2008-06-25  28.85  HTML/Exploit!IFrame.G
판다           9.04.03         2008.06.28        2008-06-28  2.31   -
피시실린       8.700-1004      5.364.03          2008-06-24  0.04   -
퀵힐           9.50            2008.06.28        2008-06-28  2.56   -
라이징         20.0            20.50.60.00       2008-06-29  0.87   -
소포스         2.74.1          4.30              2008-06-29  16.24  Troj/Iframe-AG
Sunbelt        3.0.1176.1      2106              2008-06-25  1.40   -
시만텍         1.3.0.24        20080628.004      2008-06-28  1.00   -
엔프로텍트     2008-06-27.00   1558154           2008-06-27  3.55   Trojan.IFrame.DR
더해커         6.2.96          v00364            2008-06-28  1.66   -
VBA32          3.12.6.8        20080628.0011     2008-06-28  6.37   -
VirusBuster    4.5.11.10       10.79.1/594378    2008-06-19  3.08   -

 재미있는 부분은 정작 자사의 홈페이지는 변조되었는데, 해당 악성코드는 Sophos에서 진단하고 있다는 점입니다.

[b.js]
File Size      : 407 byte
File Type      : ASCII text, with CRLF, LF line terminators
MD5            : a65f2aed8296187cfc8efec96566e3da
SHA1           : db80a5511305fc89bf1d2c7fa5138b192f67cc8a
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.18        2008.06.28        2008-06-28  4.66   -
안랩V3         2008.06.28.00   2008.06.28        2008-06-28  3.06   -
AntiVir        7.8.0.59        7.0.5.18          2008-06-28  21.57  HEUR/HTML.Malware
Arcavir        1.0.4           200806281124      2008-06-28  11.87  -
아바스트       1.0.8           080628-0          2008-06-28  37.66  -
AVG            7.5.51.442      270.4.3/1524      2008-06-28  16.52  -
비트디펜더     7.60825.1287097 7.19768           2008-06-29  24.19  Trojan.IFrame.DR
CA (VET)       9.0.0.143       31.6.5911         2008-06-27  1.79   -
클램AV         0.93            7554              2008-06-25  0.00   -
코모도         2.11            2.0.0.569         2008-06-28  1.88   -
CP Secure      1.1.0.715       2008.06.29        2008-06-29  28.70  -
닥터 웹        4.44.0.9170     2008.06.28        2008-06-28  21.70  -
ewido          4.0.0.2         2008.06.27        2008-06-27  3.33   -
F-Prot         4.4.1.52        20080628          2008-06-28  6.31   JS/Agent.GI (exact)
에프시큐어     5.51.6100       2008.06.29.01     2008-06-29  0.07   Trojan-Downloader.JS.Agent.ccu [AVP]
포티넷         2.81-3.11       0.0               2008-06-29  1.14   -
바이로봇       20080627        2008.06.27        2008-06-27  1.16   -
이카루스       T3.1.01.26      2008.06.28.70999  2008-06-28  11.47  -
지앙민         11.0.706        2008.06.17        2008-06-17  2.16   -
카스퍼스키     5.5.10          2008.06.29        2008-06-29  0.04   Trojan-Downloader.JS.Agent.ccu
킹소프트       2008.1.14.15    2008.6.29.15      2008-06-29  2.50   -
맥아피         5.2.00          5327              2008-06-27  11.87  -
Microsoft      1.3604          2008.06.25        2008-06-25  6.14   Trojan:JS/Redirector.N
mks_vir        2.01            2008.06.29        2008-06-29  14.07  -
노만           5.92.08         5.92.00           2008-06-25  29.55  HTML/Exploit!IFrame.G
판다           9.04.03         2008.06.28        2008-06-28  2.28   -
피시실린       8.700-1004      5.364.03          2008-06-24  0.04   -
퀵힐           9.50            2008.06.28        2008-06-28  2.50   -
라이징         20.0            20.50.60.00       2008-06-29  1.57   -
소포스         2.74.1          4.30              2008-06-29  23.07  Troj/Iframe-AG
Sunbelt        3.0.1176.1      2106              2008-06-25  1.65   -
시만텍         1.3.0.24        20080628.004      2008-06-28  0.41   -
엔프로텍트     2008-06-27.00   1558154           2008-06-27  4.12   Trojan.IFrame.DR
더해커         6.2.96          v00364            2008-06-28  1.48   -
VBA32          3.12.6.8        20080628.0011     2008-06-28  7.62   -
VirusBuster    4.5.11.10       10.79.1/594378    2008-06-19  6.14   -

해당 js 파일 속에는 iframe이 삽입되어 있는데, 특정 웹사이트로 연결을 시킵니다.

[index.cgi]
File Size      : 11347 byte
File Type      : HTML document text
MD5            : fff836ac010aadc1d9a6f0652170c084
SHA1           : a9403cd61c17b37e5c4c845e12c0334f4442afad
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.18        2008.06.28        2008-06-28  2.61   -
안랩V3         2008.06.28.00   2008.06.28        2008-06-28  1.39   -
AntiVir        7.8.0.59        7.0.5.18          2008-06-28  7.48   HTML/Rce.Gen
Arcavir        1.0.4           200806281124      2008-06-28  3.85   -
아바스트       1.0.8           080628-0          2008-06-28  6.39   -
AVG            7.5.51.442      270.4.3/1524      2008-06-28  3.79   -
비트디펜더     7.60825.1287097 7.19768           2008-06-29  6.07   -
CA (VET)       9.0.0.143       31.6.5911         2008-06-27  0.93   -
클램AV         0.93            7554              2008-06-25  0.00   -
코모도         2.11            2.0.0.569         2008-06-28  0.73   -
CP Secure      1.1.0.715       2008.06.29        2008-06-29  13.12  -
닥터 웹        4.44.0.9170     2008.06.28        2008-06-28  7.05   -
ewido          4.0.0.2         2008.06.27        2008-06-27  2.53   -
F-Prot         4.4.1.52        20080628          2008-06-28  2.52   -
에프시큐어     5.51.6100       2008.06.29.01     2008-06-29  0.08   -
포티넷         2.81-3.11       0.0               2008-06-29  0.49   -
바이로봇       20080627        2008.06.27        2008-06-27  0.80   -
이카루스       T3.1.01.26      2008.06.28.70999  2008-06-28  5.31   -
지앙민         11.0.706        2008.06.17        2008-06-17  1.45   -
카스퍼스키     5.5.10          2008.06.29        2008-06-29  0.04   -
킹소프트       2008.1.14.15    2008.6.28.15      2008-06-28  1.01   -
맥아피         5.2.00          5327              2008-06-27  5.17   -
Microsoft      1.3604          2008.06.25        2008-06-25  5.11   -
mks_vir        2.01            2008.06.29        2008-06-29  6.55   -
노만           5.92.08         5.92.00           2008-06-25  10.21  JS/Agent.I
판다           9.04.03         2008.06.28        2008-06-28  3.40   -
피시실린       8.700-1004      5.364.03          2008-06-24  0.04   -
퀵힐           9.50            2008.06.28        2008-06-28  1.86   -
라이징         20.0            20.50.60.00       2008-06-29  0.66   -
소포스         2.74.1          4.30              2008-06-29  11.07  Mal/ObfJS-AV
Sunbelt        3.0.1176.1      2106              2008-06-25  0.90   -
시만텍         1.3.0.24        20080628.004      2008-06-28  0.19   -
엔프로텍트     2008-06-27.00   1558154           2008-06-27  3.34   -
더해커         6.2.96          v00364            2008-06-28  1.19   -
VBA32          3.12.6.8        20080628.0011     2008-06-28  2.91   -
VirusBuster    4.5.11.10       10.79.1/594378    2008-06-19  2.21   -

연결된 웹사이트는 리다이렉트 방식으로 허위 보안 제품을 통해 웹스캔을 하여 사용자 컴퓨터가 감염되었다고 강조합니다.

그리고 치료를 위해 프로그램 다운로드를 시도합니다.

[Installer.exe]
File Size      : 348100 byte
File Type      : MS-DOS executable (EXE)
MD5            : e36733feac304db7240122e86e145cc8
SHA1           : 8ccd1f92d9f3c4ca00c2ef17d9c0360e8211fb31
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.18        2008.06.28        2008-06-28  3.16   -
안랩V3         2008.06.28.00   2008.06.28        2008-06-28  1.93   Win-Trojan/Xema.variant
AntiVir        7.8.0.59        7.0.5.18          2008-06-28  11.00  TR/Dropper.Gen
Arcavir        1.0.4           200806281124      2008-06-28  7.23   Heur.Win32.I
아바스트       1.0.8           080628-0          2008-06-28  16.42  -
AVG            7.5.51.442      270.4.3/1524      2008-06-28  12.45  Generic10.ABSO
비트디펜더     7.60825.1287097 7.19768           2008-06-29  19.08  -
CA (VET)       9.0.0.143       31.6.5911         2008-06-27  1.90   -
클램AV         0.93            7554              2008-06-25  0.00   -
코모도         2.11            2.0.0.569         2008-06-28  1.18   -
CP Secure      1.1.0.715       2008.06.29        2008-06-29  30.52  FraudTool.W32.XPSecurityCenter.a
닥터 웹        4.44.0.9170     2008.06.28        2008-06-28  28.53  -
ewido          4.0.0.2         2008.06.27        2008-06-27  5.44   -
F-Prot         4.4.1.52        20080628          2008-06-28  48.58  -
에프시큐어     5.51.6100       2008.06.29.01     2008-06-29  0.77   -
포티넷         2.81-3.11       0.0               2008-06-29  1.29   -
바이로봇       20080627        2008.06.27        2008-06-27  2.28   -
이카루스       T3.1.01.26      2008.06.28.70999  2008-06-28  17.23  Trojan-Dropper
지앙민         11.0.706        2008.06.17        2008-06-17  2.58   -
카스퍼스키     5.5.10          2008.06.29        2008-06-29  0.83   not-a-virus:FraudTool.Win32.XPSecurityCenter.b
킹소프트       2008.1.14.15    2008.6.29.15      2008-06-29  1.86   -
맥아피         5.2.00          5327              2008-06-27  0.00   -
Microsoft      1.3604          2008.06.25        2008-06-25  6.30   -
mks_vir        2.01            2008.06.29        2008-06-29  24.68  Heur.Win32
노만           5.92.08         5.92.00           2008-06-25  50.70  W32/Suspicious_U.gen
판다           9.04.03         2008.06.28        2008-06-28  3.61   -
피시실린       8.700-1004      5.364.03          2008-06-24  17.46  -
퀵힐           9.50            2008.06.28        2008-06-28  3.28   Suspicious - DNAScan
라이징         20.0            20.50.60.00       2008-06-29  2.54   -
소포스         2.74.1          4.30              2008-06-29  24.11  Mal/Packer
Sunbelt        3.0.1176.1      2106              2008-06-25  1.75   VIPRE.Suspicious
시만텍         1.3.0.24        20080628.004      2008-06-28  0.32   -
엔프로텍트     2008-06-27.00   1558154           2008-06-27  3.94   -
더해커         6.2.96          v00364            2008-06-28  1.74   Aplicacion/XPSecurityCenter.b (Unwanted)
VBA32          3.12.6.8        20080628.0011     2008-06-28  37.86  -
VirusBuster    4.5.11.10       10.79.1/594378    2008-06-19  0.00   -

과거에는 국내에서 제작된 허위 보안 제품으로 인한 피해를 호소하시는 분들이 많았지만, 최근에는 부쩍 외국에서 제작된 허위 보안 제품 감염자가 늘어나는 것으로 보입니다.

이런 류의 공격툴을 통해 국내 웹사이트도 쉽게 변조되므로 피해자가 늘어나는 것으로 보입니다.
크리에이티브 커먼즈 라이선스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)

'벌새::Analysis' 카테고리의 다른 글

Trojan-Downloader.Win32.Agent.wgb (Kaspersky)  (0) 2008/07/17
Kaspersky 오진 - 나우콤(Nowcom) 관련 파일  (12) 2008/07/15
Kaspersky 오진 - Trojan-Downloader.Win32.Agent.vmp  (0) 2008/07/08
악성코드 유포 - 인터넷 서점 알라딘  (0) 2008/07/06
악성코드 유포 - 울산매일 신문  (2) 2008/07/04
악성코드 유포 - (주)시큐리티 트러스트 (Security Trust)  (4) 2008/06/29
Kaspersky 오진 - Trojan.Win32.StartPage.bhf  (0) 2008/06/29
악성코드 유포 - MBC 게임  (4) 2008/06/28
인터넷 명의도용 검색 서비스 - IDChecker  (6) 2008/06/27
악성코드 유포 - 쇼핑몰 쌈지(SSAMZIE)  (10) 2008/06/22
안랩(AhnLab) 스파이제로(SpyZero) 오진 - Win-Spyware/PWS.Egold.80608  (2) 2008/06/22

arrow 태그 : , , , , , ,
arrow 트랙백0 | 댓글4
이 글의 관련글(트랙백) 주소 :: http://hummingbird.tistory.com/trackback/349
지나가다.. 2008/06/29 18:47 L R X
벌새님 관련 분석글 감사합니다.

그 사이트가 시큐리티 트러스트는 아니지만,

사이트 게시판에서도 알약에서
Trojan.IFrame.DR 발견된다는 게시물을 봤습니다.

저야 알약을 사용하지 않아서 그냥 임시폴더 뒤져봤거든요..

지금은 웹사이트 관리자가 스크립트 삽입부분을 지운 것 같습니다.

그럼 요번 분석 글도 잘 봤습니다.
mark
BlogIcon 벌새 2008/06/29 20:16 L X
구글링을 해보니 엄청나게 변조된 사이트가 많더군요.
seu717 2008/07/06 20:52 L R X
저 xpsecurity center 자꾸 깔리는 이상한거 걸렸습니다..도와주세요..ㅠㅠ 자꾸 컴터가 이상한거에 감염됫따고 영어로 뭐라그러면서 xpsecurity center이게 자꾸 깔리내요...지워도 다시 깔리고 결재는 안했습니다..바보는 아니니까요.
seu717 2008/07/06 20:53 L R X
쪽지나 메일 보내주세요.. 꼭좀요..

아이디 :
비밀번호 :
홈페이지 :
  비밀글로 등록
내용 :
 



[PREV] [1] ... [117][118][119][120][121][122][123][124][125] ... [447] [NEXT]
관리자  |   글쓰기
BLOG main image
울지않는벌새가 되고 싶은 나..
- 로그인을 하지 않아도 댓..
 Category
분류 전체보기 (447)
벌새::Analysis (89)
벌새::Computer (29)
벌새::Copy (10)
벌새::Education (6)
벌새::Life (31)
벌새::Movie (123)
벌새::Music (4)
벌새::Secuity (98)
벌새::Sites (4)
벌새::Thinking (39)
벌새::Utilities (14)
 TAGS
 Recent Entries
 Recent Comments
 Recent Trackbacks
 Calendar
 Archive
 Link Site
 Visitor Statistics
Total : 165203
Today : 344
Yesterday : 2016
0
믹시추적버튼-이 블로그의 인기글을 실시간 추적중입니다.
블로그코리아
web tracker

rss
위치로그 : 태그 : 방명록 : 관리자
벌새's Blog is powered by Daum / Designed by plyfly.net