반응형
국내 사이트를 중심으로 취약점을 이용한 악성코드가 다수 유포되는 것을 확인하였습니다.
해당 악성코드는 국내 인터넷 사용자의 감염을 목적으로 제작된 것으로 추정되며, 악의적으로 변조된 웹 사이트를 방문한 경우 특정 보안 취약점이 해결되지 않은 컴퓨터의 경우 악성코드에 감염되는 것으로 보입니다.
1. uuss.jpg (MD5 : 6a626caea2efe456364280e251b7c025)
취약점을 가진 인터넷 사용자가 접속시 해당 파일에서는 다수의 악의적인 코드 5종을 다운로드를 시도합니다.
대체로 국내 보안제품에서는 빠른 대응을 통해 해당 악성코드를 진단 및 치료를 지원하고 있지만, 알약(ALYac) 제품에서 대응이 되지 않고 있는 것을 확인하여 해당 업체에 신고를 하였습니다.
해당 악성코드는 이전부터 주기적으로 보안제품의 진단을 우회하기 위해 코드를 수정하므로 사용자는 반드시 자신이 사용하는 Windows, 각종 응용 프로그램의 보안 취약점을 해결한 최신 업데이트를 하셔야 근본적으로 안전합니다.
2. tt.exe (MD5 : 57927b3ebdb73f44f6a4650915272b1d)
최종적으로 다운로드되는 파일은 사용자가 이용하는 보안제품의 기능을 무력화시키며, 각종 온라인 게임 계정 정보를 탈취할 목적으로 제작된 것을 확인할 수 있습니다.
웹 사이트 변조를 통해 사용자 컴퓨터를 감염시키는 방식은 보안제품의 성능을 떠나서 1차적으로 사용자의 각종 보안 패치 적용 여부가 핵심이므로 주기적으로 Windows 업데이트 정보와 자신이 사용하는 응용 프로그램의 업데이트 정보를 확인하여 적용하는 습관이 필요합니다.
또한 이런 악성코드에 감염된 사용자는 단순히 보안제품을 통해 악성코드를 치료하는데 끝나지 않고 반드시 온라인 게임 계정, 웹 사이트 계정의 비밀번호를 교체해야 한다는 사실을 잊지 마시기 바랍니다.
[악성코드 유포 경로]
h**p://www.best**best.com/x.js
- h**p://www.best**best.com/index.htm
-> h**p://www.best**best.com/uuss.jpg (nProtect : Script-JS/W32.Agent.PH)
->> h**p://www.best**best.com/go.jpg (nProtect : Script/W32.Agent.BU)
->> h**p://www.best**best.com/go1.jpg (nProtect : Script/W32.Agent.CZ)
->>> h**p://www.hks***.co.kr/***/develop/tt.exe (V3 : Dropper/KillAV.98642)
->> h**p://www.best**best.com/go2.jpg (nProtect : Script-JS/W32.Agent.PI)
->> h**p://www.best**best.com/go3.jpg (ViRobot : Exploit.JS.79)
->> h**p://www.best**best.com/go4.jpg (nProtect : Script/W32.Agent.DB)
h**p://www.best**best.com/x.js
- h**p://www.best**best.com/index.htm
-> h**p://www.best**best.com/uuss.jpg (nProtect : Script-JS/W32.Agent.PH)
->> h**p://www.best**best.com/go.jpg (nProtect : Script/W32.Agent.BU)
->> h**p://www.best**best.com/go1.jpg (nProtect : Script/W32.Agent.CZ)
->>> h**p://www.hks***.co.kr/***/develop/tt.exe (V3 : Dropper/KillAV.98642)
->> h**p://www.best**best.com/go2.jpg (nProtect : Script-JS/W32.Agent.PI)
->> h**p://www.best**best.com/go3.jpg (ViRobot : Exploit.JS.79)
->> h**p://www.best**best.com/go4.jpg (nProtect : Script/W32.Agent.DB)
해당 악성코드는 국내 인터넷 사용자의 감염을 목적으로 제작된 것으로 추정되며, 악의적으로 변조된 웹 사이트를 방문한 경우 특정 보안 취약점이 해결되지 않은 컴퓨터의 경우 악성코드에 감염되는 것으로 보입니다.
1. uuss.jpg (MD5 : 6a626caea2efe456364280e251b7c025)
취약점을 가진 인터넷 사용자가 접속시 해당 파일에서는 다수의 악의적인 코드 5종을 다운로드를 시도합니다.
대체로 국내 보안제품에서는 빠른 대응을 통해 해당 악성코드를 진단 및 치료를 지원하고 있지만, 알약(ALYac) 제품에서 대응이 되지 않고 있는 것을 확인하여 해당 업체에 신고를 하였습니다.
해당 악성코드는 이전부터 주기적으로 보안제품의 진단을 우회하기 위해 코드를 수정하므로 사용자는 반드시 자신이 사용하는 Windows, 각종 응용 프로그램의 보안 취약점을 해결한 최신 업데이트를 하셔야 근본적으로 안전합니다.
2. tt.exe (MD5 : 57927b3ebdb73f44f6a4650915272b1d)
최종적으로 다운로드되는 파일은 사용자가 이용하는 보안제품의 기능을 무력화시키며, 각종 온라인 게임 계정 정보를 탈취할 목적으로 제작된 것을 확인할 수 있습니다.
[생성 파일 정보]
%System%\e8main0.dll (V3 : Win-Trojan/KillAV.78848.AC)
※ e8main0.dll 모듈은 각종 프로세스에 삽입되어 사용자 키워드를 감시하여 정보를 탈취합니다.
[생성 레지스트리 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-4526-8C08-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
- {BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"
%System%\e8main0.dll (V3 : Win-Trojan/KillAV.78848.AC)
※ e8main0.dll 모듈은 각종 프로세스에 삽입되어 사용자 키워드를 감시하여 정보를 탈취합니다.
[생성 레지스트리 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-4526-8C08-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
- {BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"
웹 사이트 변조를 통해 사용자 컴퓨터를 감염시키는 방식은 보안제품의 성능을 떠나서 1차적으로 사용자의 각종 보안 패치 적용 여부가 핵심이므로 주기적으로 Windows 업데이트 정보와 자신이 사용하는 응용 프로그램의 업데이트 정보를 확인하여 적용하는 습관이 필요합니다.
또한 이런 악성코드에 감염된 사용자는 단순히 보안제품을 통해 악성코드를 치료하는데 끝나지 않고 반드시 온라인 게임 계정, 웹 사이트 계정의 비밀번호를 교체해야 한다는 사실을 잊지 마시기 바랍니다.
728x90
반응형