본문 바로가기

벌새::Analysis

악성코드 유포 (2009.10.3)

반응형
추석 명절을 맞아 국내 특정 웹 사이트들을 변조하여 악성코드를 유포하는 것을 확인하였습니다.


해당 P 사용자 모임 메인 페이지에서는 악성코드 유포 행위를 발견할 수 없지만, 게시판에 접속을 하면 그림과 같이 마이크로소프트(Microsoft)에서 제공하는 ActiveX 설치창을 확인할 수 있습니다.

윈도우 MS06-014 보안 취약점 패치를 하지 않은 컴퓨터 환경에서는 접속으로 인한 악성코드 감염이 예상됩니다.

[악성코드 유포 경로]

h**p://www.happy***.com/index.htm
 - h**p://www.happy***.com/gsheng.jpg (AhnLab : HTML/Agent)
  -> h**p://www.happy***.com/bb.jpg (nProtect : Script/W32.Agent.BU)
  -> h**p://www.happy***.com/bb1.jpg (Avast : JS:ShellCode-BM)
   ->> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)
  -> h**p://www.happy***.com/bb2.jpg
  -> h**p://www.happy***.com/bb3.jpg (nProtect : Script/W32.Agent.CY)
  -> h**p://www.happy***.com/bb4.jpg (nProtect : Script/W32.Agent.DB)
 - h**p://www.happy***.com/help.asp (Kaspersky : Trojan-Downloader.JS.Agent.eea)
  -> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)

해당 악성코드는 최종적인 목표는 H.exe 파일을 사용자 컴퓨터에 감염시켜 온라인 게임 관련 정보를 탈취할 목적으로 제작되어 있는 것으로 보입니다.

실제 파일을 다운로드하는 서버가 국내 웹 사이트에 업로드된 악성코드를 다운로드하는 방식이며, 일부 악성코드는 8월경부터 활동하던 것으로 추정됩니다. 하지만 H.exe 파일에 대한 보안제품의 진단은 거의 이루어지지 않고 있으므로 감염시 피해가 예상됩니다.

[H.exe 파일 정보]

1. 파일 생성

%Windir%\AhnRpta.exe
%System%\e8main0.dll

2. 프로세스 생성

AhnRpta.exe / iexplore.exe

3. 타 프로세스에 e8main0.dll 모듈 삽입

4. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-4526-8C08-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-8C08-4526-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
 - {BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"

5. 특정 서버로부터 추가 악성코드 다운로드

일반적으로 온라인게임, PSW(Password) 관련 악성코드에 감염된 사용자는 악성코드 치료를 하신 후에는 반드시 자신이 가입한 모든 사이트의 비밀번호를 교체하시는 것이 안전합니다.
728x90
반응형