본문 바로가기

벌새::Analysis

악성코드 유포 : P 언론 사이트 (2009.06.14)

국내 진보 언론 사이트 중의 한 곳에서 현재 시간 악성코드가 유포되고 있는 것을 확인하였습니다.


특히 해당 사이트에서 제공하는 RSS를 구독할 경우 기사 제목마다 위와 같이 악성코드 삽입코드가 포함되어 있는 것을 확인할 수 있습니다.

[유포 경로]

h**p://203.68.*.**/ad.js (대만 IP)
 - h**p://203.68.*.**/OP.asp
  - h**p://www.ggagg***.co.kr/H.exe (국내 온라인 게임 사이트)

해당 삽입코드는 대만 서버에서 다운로드가 진행이 되며 최종적으로 윈도우(Windows) 보안 취약점을 악용하여 H.exe 파일을 국내 온라인 게임 사이트에서 다운로드를 시도하고 있습니다.

[H.exe]

Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.14 Trojan-Downloader.Win32.Frethog!IK
AhnLab-V3 5.0.0.2 2009.06.13 -
AntiVir 7.9.0.187 2009.06.12 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.13 -
Avast 4.8.1335.0 2009.06.13 Win32:Kavos
AVG 8.5.0.339 2009.06.13 PSW.OnlineGames_r.X
BitDefender 7.2 2009.06.14 -
CAT-QuickHeal 10.00 2009.06.13 -
ClamAV 0.94.1 2009.06.14 -
Comodo 1327 2009.06.14 -
DrWeb 5.0.0.12182 2009.06.14 Trojan.Packed.191
eSafe 7.0.17.0 2009.06.11 Suspicious File
eTrust-Vet 31.6.6556 2009.06.12 -
F-Prot 4.4.4.56 2009.06.13 -
F-Secure 8.0.14470.0 2009.06.13 -
Fortinet 3.117.0.0 2009.06.14 -
GData 19 2009.06.14 Win32:Kavos
Ikarus T3.1.1.59.0 2009.06.14 Trojan-Downloader.Win32.Frethog
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.14 -
McAfee 5645 2009.06.13 PWS-Gamania.gen.n
McAfee+Artemis 5645 2009.06.13 PWS-Gamania.gen.n
McAfee-GW-Edition 6.7.6 2009.06.14 Trojan.Crypt.XPACK.Gen
Microsoft 1.4701 2009.06.14 TrojanDropper:Win32/Frethog.K
NOD32 4153 2009.06.14 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.14 -
Panda 10.0.0.14 2009.06.13 Suspicious file
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.14 -
Rising 21.33.52.00 2009.06.13 -
Sophos 4.42.0 2009.06.14 -
Sunbelt 3.2.1858.2 2009.06.13 Worm.Win32.AutoRun
Symantec 1.4.4.12 2009.06.14 -
TheHacker 6.3.4.3.345 2009.06.13 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.14 suspected of Malware-Cryptor.Win32.General.3

※ 분석 내용 : <ThreatExpert> MD5 : 4907bd3e4d25d461dae5fd62234a5115

해당 악성코드는 실행시 생성되는 프로세스 중 AhnRpta.exe를 사용하는 것으로 보아 국내 보안업체 안철수연구소(AhnLab) 제품을 고려한 점을 통해 국내를 목표로 제작된 것으로 추정됩니다.

다양한 프로세스에 자신을 삽입하여 최종적으로 사용자의 각종 개인정보를 탈취할 목적으로 제작되었으며, 국내 온라인 게임 사이트 서버 및 추가적인 다운로드 경로가 국내 개인 사이트에서 다운로드 되는 점이 특징입니다.

주말을 이용한 중국계의 공격은 반복적으로 이루어지는 형태이므로 기본적으로 OS를 비롯한 각종 응용 프로그램을 최신 버전으로 업데이트를 하여 사용하는 습관이 필요해 보입니다.
  • 비밀댓글입니다

  • OP.asp 이번 주말에 많이 보게되네요~ 주말마다 저리 공격을 당하는 유명 신문사나 방송사들은 홈페이지에 대한 적극적인 개선을 좀 해야할 듯 한데... 심각성을 잘 모르나 봅니다.

    • 노리고 들어오는데 어쩔 수 없겠죠.

      그리고 자동화 프로그램으로 등록하는 것을 봐서는 역시 취약점을 개선해야 하지 않을까 생각됩니다.

  • 서버 해킹 후에 벌써 몇 번째인지 모르겠네요~ 악성코드 다운로드 받은 IP가 대만, 중국 IP가 나왔었고, 온라임 게임 로그인 패스워드 전송하는 도메인은 중국이더군요~ KISA에 예전에 신고를 했는데 아직도 alive한 상태인 듯 하네요.
    언론사들 몇 몇 곳만 현재 보안 업체를 통해 관제를 받고 있다고 합니다.
    보안하시는 분들 언론사 취업문이 얼릴까요? ^^