울지않는벌새 : Security, Movie & Society

천리안 영화관 악성코드 유포 주의 (2010.4.22)

벌새::Analysis
국내 데이콤에서 운영하는 대형 포털 사이트 천리안(CHOL) 영화관 사이트에서 악성코드가 유포되고 있으므로 주의하시기 바랍니다.

출처 : 천리안 영화

해당 유포는 오늘 오전에 언론 기사로 공개되었지만, 현재 시간에 여전히 수정이 되지 않고 계속적으로 유포되고 있으므로 사이트 명칭을 공개합니다.


[악성코드 유포 경로]

h**p://movie.****.com/common/**/ajax.js
 - h**p://140.***.39.**/inc/top.asp (avast! : JS:Downloader-QJ)
  -> h**p://61.***.1.**/css/isa.exe (Kaspersky : Trojan-GameThief.Win32.Magania.dcnf)
 - h**p://211.***.66.***/info/w.htm (접속 불가)

해당 악성코드는 Windows 보안 취약점 패치를 하지 않은 사용자 환경에서 해당 사이트 접속시 자동으로 감염이 이루어지며, 최종적으로 isa.exe 파일(MD5 : e60ae50600ad1ab787fdc05df3ede95d)을 다운로드하여 온라인 게임 관련 정보를 수집하여 외부로 유출하고 있는 것으로 보입니다.

감염된 컴퓨터는 [%SystemRoot%\system32\pdcjt.exe] 파일 생성 및 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon : Userinit] 레지스트리 항목 수정을 통해 자동 실행을 통하여 동작이 이루어지며, Windows 필수 프로세스에 인젝션(Injection)을 통한 개인정보 수집을 하고 있습니다.

이렇게 수집된 정보는 중국에 위치한 특정 서버로 전송이 이루어지고 있으며, 안철수연구소(AhnLab) 보안 제품에서는 ASD.Prevention 진단명으로 사전 차단되며, BitDefender 엔진을 사용하는 보안 제품에서는 Trojan.Peed.Gen 진단명으로 차단이 되고 있습니다.

위와 같은 유포 방식은 사용자가 공개된 보안 패치를 제대로 설치를 한 상태에서는 감염이 발생하지 않으므로(단, 사이트 접속시 인터넷 임시 폴더에 top.asp 관련 파일 다운로드를 통한 진단이 발생함. 하지만 감염은 아니므로 안심하시기 바랍니다. 해결 방법은 보안 제품을 통한 삭제 또는 인터넷 임시 폴더 삭제를 하시면 됩니다.) 반드시 본인이 사용하는 OS 및 각종 응용 프로그램의 보안 패치를 점검하시기 바랍니다.

 Update : 2010.4.26

해당 악성코드 유포 행위는 같은 날(4월 22일) 오후경에 등록된 악성 스크립트가 제거되어 문제가 해결되었으므로 안심하시고 이용하시기 바랍니다.