울지않는벌새 | 악성코드 유포

악성코드 유포 - 울산매일 신문
벌새::Analysis | 2008/07/04 23:54

지방 신문 사이트 [울산매일] 웹사이트가 해킹이 되어 악성코드를 유포하는 것으로 확인되었습니다.

hxxp://www.iusm.co.kr/
hxxp://ulsanmaeil.co.kr/
hxxp://211.239.157.205/swf/ii.htm
- hxxp://juli.vaivai.net/BT/111/br.exe

* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.

[ii.htm]

Antivirus Version Last Update Result
AhnLab-V3 2008.7.4.1 2008.07.04 -
AntiVir 7.8.0.64 2008.07.04 HEUR/HTML.Malware
Authentium 5.1.0.4 2008.07.04 JS/Psyme.ED
Avast 4.8.1195.0 2008.07.04 -
AVG 7.5.0.516 2008.07.03 JS/Downloader.Agent
BitDefender 7.2 2008.07.04 -
CAT-QuickHeal 9.50 2008.07.03 -
ClamAV 0.93.1 2008.07.04 HTML.Downloader-11
DrWeb 4.44.0.09170 2008.07.04 -
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5925 2008.07.04 -
Ewido 4.0 2008.07.04 -
F-Prot 4.4.4.56 2008.07.03 JS/Psyme.ED
F-Secure 7.60.13501.0 2008.07.03 Trojan-Downloader.JS.Agent.nv
Fortinet 3.14.0.0 2008.07.04 -
GData 2.0.7306.1023 2008.07.04 Trojan-Downloader.JS.Agent.nv
Ikarus T3.1.1.26.0 2008.07.04 Trojan-Downloader.JS.VML.f
Kaspersky 7.0.0.125 2008.07.04 Trojan-Downloader.JS.Agent.nv
McAfee 5331 2008.07.03 Obfuscated Script.d
Microsoft 1.3704 2008.07.04 Trojan:JS/Agent
NOD32v2 3241 2008.07.04 -
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.03 -
Prevx1 V2 2008.07.04 -
Rising 20.51.42.00 2008.07.04 -
Sophos 4.30.0 2008.07.04 Mal/ObfJS-L
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.04 -
TheHacker 6.2.96.370 2008.07.04 -
TrendMicro 8.700.0.1004 2008.07.04 -
VBA32 3.12.6.8 2008.07.03 Trojan-Downloader.JS.Psyme.acw
VirusBuster 4.5.11.0 2008.07.04 -
Webwasher-Gateway 6.6.2 2008.07.04 Heuristic.HTML.Malware
Additional information
File size: 10393 bytes
MD5...: 8db3bfb92e4bbe2716f059a31b130fc6
SHA1..: c9fd37218e82d9ee5d6055f2b60b8dce2be28a4a
SHA256: eb46fd1298bc4d0f1afb59707a929e7c395b79ab8e0f3b0e9604c560dacc98a6
SHA512: a7c7f270fde348e50811b28bd8c59333d1d6cdb4e1f9b211fdf42dfb946c0a1e
ba4de06d73838ab3ae66e7ad01f5007e873d9c17461ea0e4b1daabb5e81b7368

해당 스크립트는 MS06-014 보안 취약점을 이용한 것으로 보입니다.

[br.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.7.4.1 2008.07.04 -
AntiVir 7.8.0.64 2008.07.04 TR/Spy.Gen
Authentium 5.1.0.4 2008.07.04 W32/OnlineGames.D.gen!Eldorado
Avast 4.8.1195.0 2008.07.04 -
AVG 7.5.0.516 2008.07.03 PSW.OnlineGames.AA
BitDefender 7.2 2008.07.04 Dropped:Rootkit.Agent.XN
CAT-QuickHeal 9.50 2008.07.03 -
ClamAV 0.93.1 2008.07.04 -
DrWeb 4.44.0.09170 2008.07.04 Trojan.MulDrop.origin
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5927 2008.07.04 -
Ewido 4.0 2008.07.04 -
F-Prot 4.4.4.56 2008.07.03 W32/OnlineGames.D.gen!Eldorado
F-Secure 7.60.13501.0 2008.07.03 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.07.04 -
GData 2.0.7306.1023 2008.07.04 -
Ikarus T3.1.1.26.0 2008.07.04 Rootkit.Agent.XN
Kaspersky 7.0.0.125 2008.07.04 Trojan-GameThief.Win32.OnLineGames.saou
McAfee 5331 2008.07.03 -
Microsoft 1.3704 2008.07.04 PWS:Win32/OnLineGames.ZDN
NOD32v2 3242 2008.07.04 -
Norman 5.80.02 2008.07.04 W32/Malware
Panda 9.0.0.4 2008.07.03 Suspicious file
Prevx1 V2 2008.07.04 -
Rising 20.51.42.00 2008.07.04 -
Sophos 4.31.0 2008.07.04 Mal/Behav-151
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.04 -
TheHacker 6.2.96.370 2008.07.04 -
TrendMicro 8.700.0.1004 2008.07.04 -
VBA32 3.12.6.8 2008.07.03 -
VirusBuster 4.5.11.0 2008.07.04 -
Webwasher-Gateway 6.6.2 2008.07.04 Trojan.Spy.Gen
Additional information
File size: 28160 bytes
MD5...: 43452a6aeee88124ad04a1f547f06d59
SHA1..: c43b573f1b4a2bfff9217709056c66c4e25febfc
SHA256: e41f7b9766d2136d96088972c0172259c16c35a49267c988e2d6a9e5156f1f24
SHA512: 48274e4ba0ce784719f7c616b234995be5442fd5e368348568975cae2652c1ca
9cfb84b3dbee4329f34a191104c608d100df135d9f327aaf0963feff10a3fe84

진단명을 보시면 온라인 게임 정보를 탈취할 목적으로 제작된 악성코드임을 확인할 수 있습니다.

해당 악성코드 도메인을 확인해 보니 7월 2일 포착된 도메인으로 나오고 있습니다.

1. 파일 생성

%System%\hfdf0703.dll

2. 프로세서 생성

프로세서명 - 40,960 bytes

3. 타 프로세서에 모듈 삽입

hfdf0703.dll - %System%\hfdf0703.dlll - Process name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x1940000 - 0x1948000

hfdf0703.dll - %System%\hfdf0703.dll - Process name: dllhost.exe
Process filename: %System%\dllhost.exe
Address space: 0x2570000 - 0x2578000

hfdf0703.dll - %System%\hfdf0703.dll - Process name: IEXPLORE.EXE
Process filename: %ProgramFiles%\internet explorer\iexplore.exe
Address space: 0x1B20000 - 0x1B28000

4. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- HFDF = "%System%\hfdf0703.exe"

작동 형태를 봐서는 IE 동작을 감시하여 각종 정보를 수집하여 전송을 하리라 보여집니다.

국내 신문 사이트는 해당 사이트의 규모에 상관없이 공격 대상에 많이 포함되고 있습니다. 그나마 대형 사이트는 조치가 빠르지만, 지방 소형 언론 사이트는 처리가 늦을 수 있습니다.

Kaspersky 진단명으로 보면 온라인 게임 관련 트로이목마의 진단명이 벌써 [saou]까지 변종으로 분류되어서 조만간 5자리가 넘는 수준으로 확대되리라 보여집니다.

다른 악성코드에 비해 근래 트로이목마 변종은 온라인 게임으로 몰리고 있는게 현실이므로 온라인 게임을 즐기시는 분들은 자신의 게임 계정 관리를 잘 하셔야 할 것 같습니다.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

'벌새::Analysis' 카테고리의 다른 글

악성코드 유포 - 계동철강 (4)	2008/07/18
Trojan-Downloader.Win32.Agent.wgb (Kaspersky) (0)	2008/07/17
Kaspersky 오진 - 나우콤(Nowcom) 관련 파일 (12)	2008/07/15
Kaspersky 오진 - Trojan-Downloader.Win32.Agent.vmp (0)	2008/07/08
악성코드 유포 - 인터넷 서점 알라딘 (0)	2008/07/06
악성코드 유포 - 울산매일 신문 (2)	2008/07/04
악성코드 유포 - (주)시큐리티 트러스트 (Security Trust) (4)	2008/06/29
Kaspersky 오진 - Trojan.Win32.StartPage.bhf (0)	2008/06/29
악성코드 유포 - MBC 게임 (4)	2008/06/28
인터넷 명의도용 검색 서비스 - IDChecker (6)	2008/06/27
악성코드 유포 - 쇼핑몰 쌈지(SSAMZIE) (10)	2008/06/22

태그 : MS06-014, 신문, 악성코드, 온라인 게임, 울산매일, 취약점, 트로이목마

트랙백0 | 댓글2

이 글의 관련글(트랙백) 주소 :: http://hummingbird.tistory.com/trackback/360

WaterFox 2008/07/05 02:30 L R X
게임관련 악성코드만 벌써 30만개가 넘었다는 소리군요.
전에 카스퍼스키 진단명 포스팅 하신 글에서는 만여개 정도의 DB가 있었는데 증가 속도가 폭발적인 것 같습니다..

벌새 2008/07/05 02:34 L X

해외 보안업체쪽에서 나오는 말을 보니 작년에 폭발적으로 증가하다가 최근에는 그 폭이 많이 줄었다고 하는 것도 같습니다.
여전히 예전보다는 엄청난 양이지만 작년 샘플 증가율과 비교했을 때, 기하급수적으로 늘어나는 분위기는 아닌 것도 같습니다.

아이디 :
비밀번호 :
홈페이지 :
	비밀글로 등록
내용 :

[PREV] [1] ... [107][108][109][110][111][112][113][114][115] ... [447] [NEXT]

관리자 | 글쓰기

울지않는벌새가 되고 싶은 나..

- 로그인을 하지 않아도 댓..


	Category

분류 전체보기 (447)

벌새::Analysis (89)

벌새::Computer (29)

벌새::Copy (10)

벌새::Education (6)

벌새::Life (31)

벌새::Movie (123)

벌새::Music (4)

벌새::Secuity (98)

벌새::Sites (4)

벌새::Thinking (39)

벌새::Utilities (14)


	TAGS


	Recent Entries

Phishing 이메일 - Lloyd..
보안제품은 왜 사용하는가? (3)
악성코드 유포 - 부산 프..
로그인 / 관리자 모드가..
Google Logo (2)
Kaspersky 오진 - Trojan..
The Hand that Rocks the..
American Psycho (2000) (2)
HellBoy 2 : The Golden.. (2)
Sword Of The Stranger (..
스팸(Spam) 이메일 - BRE.. (4)
Hellboy (2004) (2)
악성코드 유포 - 씨네서.. (2)
Highlander : The Source.. (2)
건국60년 기념사업위원회.. (3)
2008년 8월 사용자 Activ.. (2)
허위 곰플레이어를 이용.. (2)
스팸(Spam) 이메일 - msn..
생즉사 사즉생(生卽死死..
국내 보안 제품 목록 - 2..


	Recent Comments

일단 저런류의 불법크랙들은..
06:24 - 알쯔

저 게시판은 파일구리 운영자..
08/20 - 벌새

파일구리를 이용하지 않아 이..
08/20 - 리틀 타블로

예전부터 이전 로고가 궁금했..
08/20 - 벌새

와우 좋은거군요..ㅋㅋ
08/20 - www.바보온달.net

수정하였습니다.^^;;
08/19 - 벌새

폭팔->폭발
08/19 - d

네~ 찾아보니 아직도 몇 곳이..
08/19 - 벌새

역사를 현 시대의 정권이념에..
08/19 - 벌새

사이트가드에서는 안잡히지만..
08/19 - 벌새


	Recent Trackbacks

생각을 바꾸면 마케팅이 보인..
::: Slice of Life :::

Jackass: The Movie, Jackass:..
The Sung's Winery

계속되는 도발과 일제청산, 촛..
일체유심조

건국절은 4월 11일이다
용현이네 마당

속보-[성명서]"건국60년 행사..
MultiThink


	Calendar


	Archive


	Link Site


	Visitor Statistics

Total : 165203
Today : 344
Yesterday : 2016

위치로그 : 태그 : 방명록 : 관리자
벌새's Blog is powered by Daum / Designed by plyfly.net