반응형
특정 다음(Daum) 카페에 접속할 경우 해당 카페에서 제공하는 외부 취업 사이트 광고 배너로 인하여 CVE-2010-0806 제로데이 취약점과 관련된 악성코드가 유포되는 것을 확인하였습니다.
[악성코드 유포 경로]
h**p://cache.******.co.kr/******clip/?rid=(이하 생략)
- h**p://218.**.127.*/ip/img.js
-> h**p://218.**.127.*/ip/cpp.htm
->> h**p://218.**.127.*/ip/jf.htm (Kaspersky : Exploit.JS.CVE-2010-0806.h)
->>> h**p://218.**.127.*/ip/js.css
->>> h**p://file.**family.com/php/i./c.exe (AhnLab : Win-Trojan/Infostealer.53760)
h**p://cache.******.co.kr/******clip/?rid=(이하 생략)
- h**p://218.**.127.*/ip/img.js
-> h**p://218.**.127.*/ip/cpp.htm
->> h**p://218.**.127.*/ip/jf.htm (Kaspersky : Exploit.JS.CVE-2010-0806.h)
->>> h**p://218.**.127.*/ip/js.css
->>> h**p://file.**family.com/php/i./c.exe (AhnLab : Win-Trojan/Infostealer.53760)
해당 악성코드는 몇 시간 후면 마이크로소프트(Microsoft)사에서 긴급 보안 패치로 다운로드 서비스를 시작할 Internet Explorer 6 / 7 버전에서 유효한 제로데이(0-Day) 취약점을 이용한 것으로 해당 웹 브라우저를 이용하는 사용자가 문제의 사이트에 접속할 경우 최종적으로 사용자 몰래 c.exe (MD5 : aa908e7718b8380f08df3ec2f3236332) 파일을 Payload하도록 구성되어 있습니다.
해당 악성코드에 감염된 사용자는 [%SystemRoot%\system32\hzrct.exe] 파일을 생성하고 자기 자신은 스스로 삭제를 하며, 다양한 프로세스에 인젝션(Injection)을 통한 사용자 정보를 탈취하여 중국 서버로 전송을 하는 것으로 추정됩니다.
그러므로 사용자들은 신뢰할 수 있는 보안 제품을 통한 실시간 감시를 통해 사전에 감염을 차단하시기 바라며, 곧 공개된 보안 패치를 반드시 설치하여 시스템을 보호하시기 바랍니다.
728x90
반응형