본문 바로가기

벌새::Analysis

악성코드 유포 (2009.10.3)

반응형
추석 명절을 맞아 국내 특정 웹 사이트들을 변조하여 악성코드를 유포하는 것을 확인하였습니다.


해당 P 사용자 모임 메인 페이지에서는 악성코드 유포 행위를 발견할 수 없지만, 게시판에 접속을 하면 그림과 같이 마이크로소프트(Microsoft)에서 제공하는 ActiveX 설치창을 확인할 수 있습니다.

윈도우 MS06-014 보안 취약점 패치를 하지 않은 컴퓨터 환경에서는 접속으로 인한 악성코드 감염이 예상됩니다.

[악성코드 유포 경로]

h**p://www.happy***.com/index.htm
 - h**p://www.happy***.com/gsheng.jpg (AhnLab : HTML/Agent)
  -> h**p://www.happy***.com/bb.jpg (nProtect : Script/W32.Agent.BU)
  -> h**p://www.happy***.com/bb1.jpg (Avast : JS:ShellCode-BM)
   ->> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)
  -> h**p://www.happy***.com/bb2.jpg
  -> h**p://www.happy***.com/bb3.jpg (nProtect : Script/W32.Agent.CY)
  -> h**p://www.happy***.com/bb4.jpg (nProtect : Script/W32.Agent.DB)
 - h**p://www.happy***.com/help.asp (Kaspersky : Trojan-Downloader.JS.Agent.eea)
  -> h**p://www.random****s.co.kr/ad/H.exe (AVG : PSW.OnlineGames_r.AP)

해당 악성코드는 최종적인 목표는 H.exe 파일을 사용자 컴퓨터에 감염시켜 온라인 게임 관련 정보를 탈취할 목적으로 제작되어 있는 것으로 보입니다.

실제 파일을 다운로드하는 서버가 국내 웹 사이트에 업로드된 악성코드를 다운로드하는 방식이며, 일부 악성코드는 8월경부터 활동하던 것으로 추정됩니다. 하지만 H.exe 파일에 대한 보안제품의 진단은 거의 이루어지지 않고 있으므로 감염시 피해가 예상됩니다.

[H.exe 파일 정보]

1. 파일 생성

%Windir%\AhnRpta.exe
%System%\e8main0.dll

2. 프로세스 생성

AhnRpta.exe / iexplore.exe

3. 타 프로세스에 e8main0.dll 모듈 삽입

4. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-4526-8C08-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB4C402F-882A-8C08-4526-51278EA437C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
 - {BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"

5. 특정 서버로부터 추가 악성코드 다운로드

일반적으로 온라인게임, PSW(Password) 관련 악성코드에 감염된 사용자는 악성코드 치료를 하신 후에는 반드시 자신이 가입한 모든 사이트의 비밀번호를 교체하시는 것이 안전합니다.
728x90
반응형
  • 참 자주보는 h.exe입니다. ^^ 지속적으로 변종이 나오는데 변종이라고는 해도 하는 내용은 동일해서 아마 패킹이나 내부 구성만 조금 바꾸는 것 같은데 변종 진단율이 현저히 떨어지는 것 같습니다. avg에서 동일 진단명으로 (아마 패턴진단이겠죠?) 계속 진단되는 걸 보면 뭔가 있을 것 같긴 한데 말입니다.

  • 비밀댓글입니다

    • 샘플은 보안업체에게만 전달하고 있습니다. 양해해 주시기 바랍니다.^^

      저쪽 지식이 좀 더 있고 컴퓨터 환경이 되면 더 깊이 정보를 수집할 수 있을텐데 그게 제일 아쉽습니다.

      사이트는 한국 팜 사용자 모임이라는 커뮤니티 사이트로 기억하고 있습니다.

  • ^^ 감사합니다. 2009.10.09 09:32 댓글주소 수정/삭제 댓글쓰기

    샘플을 구하지 못해 아쉽지만^^ 감사합니다.
    더욱 많은 공부가 필요하단걸 나날이 느끼고 있습니다.ㅠㅠ
    사이트 알려주셔서 감사합니다^^