본문 바로가기

벌새::Analysis

악성코드 유포 (2009.10.10)

반응형
국내 컴퓨터 하드웨어 커뮤니티 C 사이트가 변조되어 악성코드가 유포되는 것을 확인하였습니다.


사이트 접속시 그림과 같이 마이크로소프트(Microsoft)사에서 배포하는 [Microsoft Data Access - Remote Data Service Data Control] 관련 ActiveX 동작창을 생성하고 있습니다.

해당 악성코드는 최근 명절을 통해 유포되던 형태의 변종으로 Windows 보안 취약점을 악용한 것으로 사이트 접속 사용자 컴퓨터가 최신 보안 업데이트가 되어 있지 않는 경우 자동으로 감염이 예상됩니다.

[악성코드 유포 경로]

h**p://www.agi**.com/test.asp (AntiVir : HTML/Crypted.Gen)
 - h**p://www.agi**.com/gsheng.jpg (ViRobot : JS.Agent.818)
  -> h**p://www.agi**.com/bb.jpg (nProtect : Script/W32.Agent.BU)
  -> h**p://www.agi**.com/bb1.jpg (Avast : JS:ShellCode-BM)
   ->> h**p://www.de****.co.kr/ad/d.exe (F-Prot : W32/OnlineGames.CN.gen!Eldorado)
  -> h**p://www.agi**.com/bb2.jpg
  -> h**p://www.agi**.com/bb3.jpg (nProtect : Script/W32.Agent.CY)
  -> h**p://www.agi**.com/bb4.jpg (nProtect : Script/W32.Agent.DB)
 - h**p://www.de****.co.kr/ad/d.exe (F-Prot : W32/OnlineGames.CN.gen!Eldorado)

해당 악성코드의 최종적인 목표는 d.exe 파일을 다운로드하여 컴퓨터를 감염시켜서 온라인 게임 관련 계정을 탈취할 목적으로 추정되며, 기타 개인정보 유출 등 악의적인 동작이 있을 것으로 보입니다.

특히 d.exe 파일의 경우 국내외 유명 보안제품에서 정식 진단이 전혀 이루어지지 않고 있는 것으로 보이므로 주의가 요구됩니다.

[d.exe 정보 - MD5 : 60f5651cc1acb69eb34e7e3e7c7d2d66]

1. 파일 생성
%Windir%\AhnRpta.exe / %System%\softqq0.dll

2. 프로세스 생성
AhnRpta.exe

3. 타 프로세스에 softqq0.dll 모듈 삽입

4. 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B03A4BE6-5E5A-B9B3-483E-C484D4B20B72}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72} = "hook dll rising"

5. 특정 서버로부터 추가 악성코드 다운로드

근본적으로 Windows 보안 패치가 잘 적용된 컴퓨터 환경에서는 문제가 없으므로 반드시 취신 보안 업데이트를 하시기 바라며, 감염된 사용자의 경우 해당 악성코드 치료를 하신 후에는 반드시 각종 사이트 비밀번호를 교체하시기 바랍니다.

728x90
반응형