울지않는벌새 : Security, Movie & Society

악성코드 유포 : M 웹하드 (2010.5.16)

벌새::Analysis
과거에도 사이트 변조를 통한 악성코드 유포가 확인되던 국내 M 웹하드 사이트가 현재 악성 스크립트(Script)를 통한 악성코드 유포가 이루어지고 있으므로 주의가 요구됩니다.

출처 : 안철수연구소(AhnLab)

특히 주말을 이용하여 국내 다수의 인터넷 사이트가 변조되어 악성 스크립트를 통한 취약한 시스템으로 해당 사이트에 접속하는 사용자 컴퓨터를 감염시키고 있다는 점은, 안철수연구소(AhnLab) 보안 통계를 통해 쉽게 확인할 수 있습니다.

평소 트로이목마(Trojan)이 항상 가장 많은 감염 유형으로 나오지만 최근에는 스크립트 방식의 감염자가 1위를 차지하는 기현상이 발생하고 있습니다.

그러므로 인터넷 사용자는 신뢰할 수 있는 유명 사이트라도 악성코드 유포가 있을 수 있으므로 반드시 Windows 보안 패치 및 사용자 컴퓨터에 설치된 각종 응용 프로그램 최신 업데이트를 체크하시고, 보안 제품의 실시간 감시를 활성화한 상태로 인터넷을 이용하시기 바랍니다.

[악성코드 유포 경로]

h**p://www.kp**.or.kr/css/MG.asp (avast! : JS:Downloader-RN)
 - h**p://61.***.1.**/admin/G.exe (Dr.Web : Trojan.PWS.Gamania.24318)

최근의 인터넷 사이트에 iframe 방식의 악성코드 추가시 해당 사이트 방문자가 초기 방문자인 경우에만 감염을 시키고, 재방문시에는 방문자 IP 체크를 통한 해당 악성 스크립트의 노출을 차단(Timeout)하여 샘플 수집 및 분석을 방해하는 방식으로 이루어지고 있습니다.(물론 동일 컴퓨터에서 손쉽게 샘플 수집을 할 수 있는 우회적인 방법이 존재합니다. )

최종적으로 다운로드되는 G.exe (MD5 : 6409086e85958f219eff6459ece9872b) 파일은 해킹된 국내 온라인 쇼핑몰 사이트 서버에서 다운로드가 이루어지고 있으며, 안철수연구소(AhnLab) 보안 제품에서는 ASD.Prevention (VirusTotal : 15/41) 진단명으로 사전 진단을 하고 있는 상태입니다.

[파일 생성]

C:\WINDOWS\AhnRpta.exe ; 프로세스 생성
C:\WINDOWS\system32\softqq0.dll ; 타 프로세스에 파일 모듈 삽입

[레지스트리 생성]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
 - {B03A4BE6-5E5A-483E-B9B3-C484D4B20B72} = "hook dll rising"

감염된 시스템에서는 AhnRpta.exe 프로세스를 추가로 생성하며, softqq0.dll 파일 모듈을 다양한 프로세스에 삽입하여 사용자가 Internet Explorer를 이용한 로그인 동작시 온라인 게임 계정 정보 탈취 등의 개인정보 수집을 하는 것으로 추정됩니다.

중국에서의 국내 인터넷 사이트 변조와 온라인 게임 계정 정보 탈취 목적의 공격은 주말이 특히 심하므로 만약 악성코드에 감염된 경우에는 보안 제품을 통한 치료 이후에 추가적으로 각종 인터넷 사이트 비밀번호 교체를 함께 하시는 것을 권장합니다.