울지않는벌새 : Security, Movie & Society

악성코드 유포 : P 언론 사이트 (2009.06.14)

벌새::Analysis
국내 진보 언론 사이트 중의 한 곳에서 현재 시간 악성코드가 유포되고 있는 것을 확인하였습니다.


특히 해당 사이트에서 제공하는 RSS를 구독할 경우 기사 제목마다 위와 같이 악성코드 삽입코드가 포함되어 있는 것을 확인할 수 있습니다.

[유포 경로]

h**p://203.68.*.**/ad.js (대만 IP)
 - h**p://203.68.*.**/OP.asp
  - h**p://www.ggagg***.co.kr/H.exe (국내 온라인 게임 사이트)

해당 삽입코드는 대만 서버에서 다운로드가 진행이 되며 최종적으로 윈도우(Windows) 보안 취약점을 악용하여 H.exe 파일을 국내 온라인 게임 사이트에서 다운로드를 시도하고 있습니다.

[H.exe]

Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.14 Trojan-Downloader.Win32.Frethog!IK
AhnLab-V3 5.0.0.2 2009.06.13 -
AntiVir 7.9.0.187 2009.06.12 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.13 -
Avast 4.8.1335.0 2009.06.13 Win32:Kavos
AVG 8.5.0.339 2009.06.13 PSW.OnlineGames_r.X
BitDefender 7.2 2009.06.14 -
CAT-QuickHeal 10.00 2009.06.13 -
ClamAV 0.94.1 2009.06.14 -
Comodo 1327 2009.06.14 -
DrWeb 5.0.0.12182 2009.06.14 Trojan.Packed.191
eSafe 7.0.17.0 2009.06.11 Suspicious File
eTrust-Vet 31.6.6556 2009.06.12 -
F-Prot 4.4.4.56 2009.06.13 -
F-Secure 8.0.14470.0 2009.06.13 -
Fortinet 3.117.0.0 2009.06.14 -
GData 19 2009.06.14 Win32:Kavos
Ikarus T3.1.1.59.0 2009.06.14 Trojan-Downloader.Win32.Frethog
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.14 -
McAfee 5645 2009.06.13 PWS-Gamania.gen.n
McAfee+Artemis 5645 2009.06.13 PWS-Gamania.gen.n
McAfee-GW-Edition 6.7.6 2009.06.14 Trojan.Crypt.XPACK.Gen
Microsoft 1.4701 2009.06.14 TrojanDropper:Win32/Frethog.K
NOD32 4153 2009.06.14 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.14 -
Panda 10.0.0.14 2009.06.13 Suspicious file
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.14 -
Rising 21.33.52.00 2009.06.13 -
Sophos 4.42.0 2009.06.14 -
Sunbelt 3.2.1858.2 2009.06.13 Worm.Win32.AutoRun
Symantec 1.4.4.12 2009.06.14 -
TheHacker 6.3.4.3.345 2009.06.13 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.14 suspected of Malware-Cryptor.Win32.General.3

※ 분석 내용 : <ThreatExpert> MD5 : 4907bd3e4d25d461dae5fd62234a5115

해당 악성코드는 실행시 생성되는 프로세스 중 AhnRpta.exe를 사용하는 것으로 보아 국내 보안업체 안철수연구소(AhnLab) 제품을 고려한 점을 통해 국내를 목표로 제작된 것으로 추정됩니다.

다양한 프로세스에 자신을 삽입하여 최종적으로 사용자의 각종 개인정보를 탈취할 목적으로 제작되었으며, 국내 온라인 게임 사이트 서버 및 추가적인 다운로드 경로가 국내 개인 사이트에서 다운로드 되는 점이 특징입니다.

주말을 이용한 중국계의 공격은 반복적으로 이루어지는 형태이므로 기본적으로 OS를 비롯한 각종 응용 프로그램을 최신 버전으로 업데이트를 하여 사용하는 습관이 필요해 보입니다.