본문 바로가기

벌새::Analysis

악성코드 유포 (2009.10.3)

추석 명절을 맞아 국내 특정 웹 사이트들을 변조하여 악성코드를 유포하는 것을 확인하였습니다.


해당 P 사용자 모임 메인 페이지에서는 악성코드 유포 행위를 발견할 수 없지만, 게시판에 접속을 하면 그림과 같이 마이크로소프트(Microsoft)에서 제공하는 ActiveX 설치창을 확인할 수 있습니다.

윈도우 MS06-014 보안 취약점 패치를 하지 않은 컴퓨터 환경에서는 접속으로 인한 악성코드 감염이 예상됩니다.

[악성코드 유포 경로]

h**p://www.happy***.com/index.htm
 - h**p://www.happy***.com/gsheng.jpg (AhnLab : HTML/Agent)
  -> h**p://www.happy***.com/bb.jpg (nProtect : Script/W32.Agent.BU)
  -> h**p://www.happy***.com/bb1.jpg (Avast : JS:ShellCode-BM)
   ->> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)
  -> h**p://www.happy***.com/bb2.jpg
  -> h**p://www.happy***.com/bb3.jpg (nProtect : Script/W32.Agent.CY)
  -> h**p://www.happy***.com/bb4.jpg (nProtect : Script/W32.Agent.DB)
 - h**p://www.happy***.com/help.asp (Kaspersky : Trojan-Downloader.JS.Agent.eea)
  -> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)

해당 악성코드는 최종적인 목표는 H.exe 파일을 사용자 컴퓨터에 감염시켜 온라인 게임 관련 정보를 탈취할 목적으로 제작되어 있는 것으로 보입니다.

실제 파일을 다운로드하는 서버가 국내 웹 사이트에 업로드된 악성코드를 다운로드하는 방식이며, 일부 악성코드는 8월경부터 활동하던 것으로 추정됩니다. 하지만 H.exe 파일에 대한 보안제품의 진단은 거의 이루어지지 않고 있으므로 감염시 피해가 예상됩니다.

[H.exe 파일 정보]

1. 파일 생성

%Windir%\AhnRpta.exe
%System%\e8main0.dll

2. 프로세스 생성

AhnRpta.exe / iexplore.exe

3. 타 프로세스에 e8main0.dll 모듈 삽입

4. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-4526-8C08-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-8C08-4526-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
 - {BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"

5. 특정 서버로부터 추가 악성코드 다운로드

일반적으로 온라인게임, PSW(Password) 관련 악성코드에 감염된 사용자는 악성코드 치료를 하신 후에는 반드시 자신이 가입한 모든 사이트의 비밀번호를 교체하시는 것이 안전합니다.
  • 참 자주보는 h.exe입니다. ^^ 지속적으로 변종이 나오는데 변종이라고는 해도 하는 내용은 동일해서 아마 패킹이나 내부 구성만 조금 바꾸는 것 같은데 변종 진단율이 현저히 떨어지는 것 같습니다. avg에서 동일 진단명으로 (아마 패턴진단이겠죠?) 계속 진단되는 걸 보면 뭔가 있을 것 같긴 한데 말입니다.

  • 비밀댓글입니다

    • 샘플은 보안업체에게만 전달하고 있습니다. 양해해 주시기 바랍니다.^^

      저쪽 지식이 좀 더 있고 컴퓨터 환경이 되면 더 깊이 정보를 수집할 수 있을텐데 그게 제일 아쉽습니다.

      사이트는 한국 팜 사용자 모임이라는 커뮤니티 사이트로 기억하고 있습니다.

  • ^^ 감사합니다. 2009.10.09 09:32 댓글주소 수정/삭제 댓글쓰기

    샘플을 구하지 못해 아쉽지만^^ 감사합니다.
    더욱 많은 공부가 필요하단걸 나날이 느끼고 있습니다.ㅠㅠ
    사이트 알려주셔서 감사합니다^^