반응형
해외 사이트를 확인하던 중 다수의 악성코드가 심어진 사이트를 확인하였으며, 해당 악성코드를 봐서는 국내 사이트도 감염되었을 확률이 매우 높아 보입니다.
[악성코드 유포 경로]
h**p://www.kl**.cn/index.htm
- h**p://www.kl**.cn/he.html <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/url.js
->> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/h.js <Microsoft : Exploit:JS/ShellCode.gen>
-> h**p://www.kl**.cn/hh.js <Avast : JS:ShellCode-AX>
- h**p://www.kl**.cn/14.html <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/url.js
->> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/14.js <Avast : VBS:Obfuscated-gen>
-> h**p://www.kl**.cn/qq.js <Microsoft : Exploit:JS/Mult.AJ>
-> h**p://www.kl**.cn/q.js
- h**p://www.kl**.cn/test.html
-> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/a.c <Microsoft : Exploit:JS/ShellCode.gen>
-> h**p://www.kl**.cn/c.c <Microsoft : Exploit:JS/ShellCode.gen>
-> h**p://www.kl**.cn/bb.c <Symantec : Downloader>
-> h**p://www.kl**.cn/bbb.c <AntiVir : HTML/Silly.Gen>
-> h**p://www.kl**.cn/d.c
-> h**p://www.kl**.cn/b.c <AntiVir : HTML/Silly.Gen>
- h**p://www.kl**.cn/02.html <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/url.js
->> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/02.js <Comodo : TrojWare.JS.Agent.GA>
- h**p://www.kl**.cn/pp.html <Avast : JS:RealPlr-J>
-> h**p://www.kl**.cn/p.html
->> h**p://www.kl**.cn/pef.pdf <BitDefender : Exploit.PDF-JS.Gen>
->>> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/f.html
->> h**p://www.kl**.cn/ii.html ; Internet Explorer
->>> h**p://www.kl**.cn/swfobject.js
->>> h**p://www.kl**.cn/i16.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i28.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i455.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i47.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i64.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i115.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->> h**p://www.kl**.cn/ff.html ; Firefox
->>> h**p://www.kl**.cn/i16.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i28.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i455.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i47.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i64.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i115.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
-> h**p://www.kl**.cn/r.html <AhnLab : JS/Shellcode>
->> h**p://www.kl**.cn/url.js
->>> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
->> h**p://www.kl**.cn/rl.js <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/of.html <AhnLab : JS/Shellcode>
->> h**p://www.kl**.cn/url.js
->>> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
->> h**p://www.kl**.cn/a.js <Comodo : TrojWare.JS.Agent.~GD>
h**p://www.kl**.cn/index.htm
- h**p://www.kl**.cn/he.html <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/url.js
->> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/h.js <Microsoft : Exploit:JS/ShellCode.gen>
-> h**p://www.kl**.cn/hh.js <Avast : JS:ShellCode-AX>
- h**p://www.kl**.cn/14.html <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/url.js
->> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/14.js <Avast : VBS:Obfuscated-gen>
-> h**p://www.kl**.cn/qq.js <Microsoft : Exploit:JS/Mult.AJ>
-> h**p://www.kl**.cn/q.js
- h**p://www.kl**.cn/test.html
-> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/a.c <Microsoft : Exploit:JS/ShellCode.gen>
-> h**p://www.kl**.cn/c.c <Microsoft : Exploit:JS/ShellCode.gen>
-> h**p://www.kl**.cn/bb.c <Symantec : Downloader>
-> h**p://www.kl**.cn/bbb.c <AntiVir : HTML/Silly.Gen>
-> h**p://www.kl**.cn/d.c
-> h**p://www.kl**.cn/b.c <AntiVir : HTML/Silly.Gen>
- h**p://www.kl**.cn/02.html <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/url.js
->> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/02.js <Comodo : TrojWare.JS.Agent.GA>
- h**p://www.kl**.cn/pp.html <Avast : JS:RealPlr-J>
-> h**p://www.kl**.cn/p.html
->> h**p://www.kl**.cn/pef.pdf <BitDefender : Exploit.PDF-JS.Gen>
->>> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
-> h**p://www.kl**.cn/f.html
->> h**p://www.kl**.cn/ii.html ; Internet Explorer
->>> h**p://www.kl**.cn/swfobject.js
->>> h**p://www.kl**.cn/i16.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i28.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i455.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i47.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i64.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i115.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->> h**p://www.kl**.cn/ff.html ; Firefox
->>> h**p://www.kl**.cn/i16.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i28.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i455.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i47.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i64.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
->>> h**p://www.kl**.cn/i115.swf <AhnLab : Win-Trojan/Exploit-SWF.Gen>
-> h**p://www.kl**.cn/r.html <AhnLab : JS/Shellcode>
->> h**p://www.kl**.cn/url.js
->>> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
->> h**p://www.kl**.cn/rl.js <AhnLab : JS/Shellcode>
-> h**p://www.kl**.cn/of.html <AhnLab : JS/Shellcode>
->> h**p://www.kl**.cn/url.js
->>> h**p://www.ax**.cn/sv.exe <nProtect : Trojan/W32.Agent.160643>
->> h**p://www.kl**.cn/a.js <Comodo : TrojWare.JS.Agent.~GD>
해당 악성코드는 Windows, Internet Explorer, Firefox, RealPlayer, Adobe Reader, Adobe Flash, Microsoft Office 보안 취약점을 이용하여 최종적인 다운로드형 악성코드 sv.exe 파일을 사용자 컴퓨터에 설치하는 것이 목적입니다.
감염된 웹 사이트에 접근시 MDAC(Microsoft Data Access Components) 보안 취약점(MS06-014)을 이용하여 ActiveX를 설치하도록 유도하고 있는 것으로 외관상 변조된 사이트임을 확인할 수 있습니다.
특정 보안 취약점만 해결하면 접속시 안전한 것이 아니라, 복합적인 취약점을 모두 노리고 있으므로 실제로 사용자가 설치한 각종 프로그램에 대한 최신 업데이트가 모두 이루어지지 않았다면 감염의 위험성이 있습니다.
해당 악성코드가 사용한 보안 취약점에 대해 간단히 정리하면 다음과 같습니다.
- Microsoft 보안 공지 MS09-032 : ActiveX 킬(Kill) 비트 누적 보안 업데이트(973346)
- Microsoft 보안 공지 MS09-037 : Microsoft ATL(액티브 템플릿 라이브러리)의 취약점으로 인한 원격 코드 실행 문제점(973908)
- Microsoft 보안 공지 MS09-043 : Microsoft Office Web Components의 취약점으로 인한 원격 코드 실행 문제점(957638)
최종적으로 사용자 컴퓨터에 설치를 하게 되는 sv.exe(MD5 : e43f8153a8616f5715be7518bb2bcefa) 파일은 다음과 같은 동작을 하고 있습니다.
1. 파일 생성
%System%\Kav.key
%System%\NWCWorkstation.dll ; 서비스 등록
2. svchost.exe 프로세스에 NWCWorkstation.dll 모듈 삽입
3. 레지스트리 생성
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NWCWORKSTATION
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_
NWCWORKSTATION\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_
NWCWORKSTATION\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
NWCWORKSTATION
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
NWCWORKSTATION\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
NWCWORKSTATION\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\
Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Enum
4. 특정 서버와 연결하여 정보 유출
%System%\Kav.key
%System%\NWCWorkstation.dll ; 서비스 등록
2. svchost.exe 프로세스에 NWCWorkstation.dll 모듈 삽입
3. 레지스트리 생성
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NWCWORKSTATION
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_
NWCWORKSTATION\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_
NWCWORKSTATION\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
NWCWORKSTATION
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
NWCWORKSTATION\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
NWCWORKSTATION\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\
Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Enum
4. 특정 서버와 연결하여 정보 유출
주기적으로 다수의 웹 사이트가 변조되어 악성코드를 유포하게 되므로, 사용하시는 신뢰할 수 있는 보안제품의 실시간 검사 기능을 활성화하시고, 반드시 사용하시는 각종 프로그램의 최신 버전 정보를 확인하여 업데이트를 하시기를 바랍니다.
728x90
반응형