악성코드 유포 : JS/Zapchast (2010.4.26)

안철수연구소(AhnLab) 보안 통계 서비스에 최근 진단이 늘어나고 있는 JS/Zapchast 악성코드 유포에 대해 알아보도록 하겠습니다.

출처 : 안철수연구소(AhnLab) 보안 통계

해당 악성코드는 현재 V3 보안 제품을 사용하는 사용자의 진단명 중 상당히 많은 진단이 이루어지고 있는 것으로 보아 많은 인터넷 사이트가 변조된 것으로 추정됩니다.

테스트에서 확인된 사이트의 경우에는 국내 악성코드 치료 프로그램 제작 사이트로 메인 페이지가 아닌 이용약관에 접속할 경우에 iframe 방식으로 삽입된 악의 스크립트를 통해 시스템을 감염시키고 있는 것을 확인할 수 있습니다.

[악성코드 유포 경로]

h**p://www.game***.com/data/css.htm
 - h**p://www.game***.com/data/2.html
  -> h**p://www.game***.com/data/top.jpg (Kaspersky : Trojan.JS.Zapchast.dl)
   ->> h**p://www.game***.com/data/updata.exe (Kaspersky : Trojan.Win32.Vilsel.abdv)
  -> h**p://www.game***.com/data/cook.jpg (ViRobot : JS.S.Zapchast.413)
  -> h**p://www.game***.com/data/cook1.jpg (AhnLab : JS/Zapchast)
  -> h**p://www.game***.com/data/root.jpg (ViRobot : JS.S.Zapchast.163)

최종적으로 다운로드되는 updata.exe 파일(MD5 : 85bb2d81cb1cc12e778a11ee6241ec20)은 정상적인 Windows 시스템에 존재하는 [%SystemRoot%\system32\imm32.dll] 파일(Windows XP IMM32 API Client DLL)을 imm32.dll.bak 파일로 변경을 하고, 악의적인 imm32.dll 파일을 생성하여 다수의 프로세스에 자신을 인젝션(Injection)하여 사용자가 입력하는 키워드 값을 중국 서버로 유출하는 동작을 하고 있습니다.

해당 updata.exe 파일을 비롯한 악성 스크립트 파일은 국내 고전 게임 관련 인터넷 사이트가 해킹을 당하여 업로드된 상태로 유포가 이루어지고 있는 것을 추가로 확인할 수 있으며, 보안 관련 돈벌이 사이트들 역시 사이트 관리가 매우 허술하게 이루어지고 있는 것을 알 수 있습니다.

안철수연구소 V3 제품에서는 updata.exe 파일에 대해 Trojan/Win32.Vilsel 진단명으로 실시간 차단이 이루어지고 있으며, 일부 인터넷 사용자 중에서 Windows를 비롯한 각종 보안 패치를 완벽하게 한 사용자들은 감염으로 연결되지 않으므로 안심하시기 바랍니다.

특히 변조된 인터넷 사이트를 방문시 V3 보안 제품에서 JS/Zapchast 진단명으로 실시간 차단을 하는 경우 자신의 시스템이 감염된 것이 아닌 인터넷 임시 폴더에 다운로드된 상태에서 차단하는 것이므로 [치료하기] 버튼을 클릭하여 해당 항목을 삭제 처리를 하시면 됩니다.

실제로 감염된 사용자는 보안 패치 미설치 등의 취약점을 가진 시스템에서 updata.exe 파일을 자동으로 사용자 시스템에 설치가 이루어지는 동작이 있으므로 오해를 하지 않도록 하시기 바랍니다.