울지않는벌새 : Security, Movie & Society

MS10-002 보안 취약점을 이용한 악성코드 유포 (2010.3.8)

벌새::Analysis
국내 영화 관련 C 사이트에서 MS10-002 보안 취약점을 이용한 악성코드가 유포되었던 것을 확인하였습니다.


[악성코드 유포 경로]

h**p://www.cin**.co.kr/front/Javascript/prototype.js
 - h**p://211.***.118.***/Files/MT/admin_game.gif (F-Secure : Exploit:JS/Comele.gen!A)
  -> h**p://211.***.118.***/Files/MT/au1.jpg (avast : JS:Downloader-EB)
   ->> h**p://junggo*****.nefficient.co.kr/test2.exe (Kaspersky : Trojan.Win32.Pincav.vcc)

MD5 : 8338b4a5775d7ae2d1503748ba8f8732


최종적으로 사용자 컴퓨터에 설치를 하는 test2.exe(VirusTotal : 28/42) 파일은 진단명으로 보아 온라인 게임 계정 수집 등의 악의적인 동작을 할 것으로 추정됩니다.

해당 악성코드는 [%SystemRoot%\system32\dvwbt.exe] 파일로 자가 복제를 하며, explorer.exe 프로세스에 다음과 같은 파일을 인젝션(Injection)하여 자동 실행되도록 구성하고 있습니다.

[explorer.exe 프로세스 삽입]

%SystemRoot%\system32\hnetcfg.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\wshtcpip.dll
%SystemRoot%\system32\DNSAPI.dll
%SystemRoot%\system32\rasadhlp.dll
[레지스트리 수정 전]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe,

[레지스트리 수정 후]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit =

MS10-002 보안 패치가 이루어지지 않은 컴퓨터 환경에서는 해당 사이트 접속시 악성코드 감염이 예상되므로 유명 보안 제품을 이용하여 시스템 정밀 검사를 통한 치료 및 해당 보안 패치를 반드시 설치하시기 바랍니다.

참고로 해당 사이트의 악성코드 유포는 현재 시간 수정이 된 것을 확인하였습니다.