마이센스(Mysense) 코드를 통한 악성코드 유포 (2010.8.22)
벌새::Analysis최근 발생한 구글 애드센스(Google Adsense) 부정 클릭 방지 서비스인 마이센스(Mysense) 코드에 악성 iframe을 추가하여 악성코드를 유포하는 행위가 이번 주말에 재발생하고 있는 부분을 확인하였습니다.
[악성코드 유포 경로]
h**p://****.jjang*.co.kr/data/homework/item/me/index.htm
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/2.html : CVE-2010-0806 취약점
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/top.jpg
ㄴ h**p://game.huari***.info/popup/zhu.exe
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook1.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/root.jpg
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/fop.htm : Internet Explorer 7 환경 동작 (접속 차단)
h**p://****.jjang*.co.kr/data/homework/item/me/index.htm
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/2.html : CVE-2010-0806 취약점
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/top.jpg
ㄴ h**p://game.huari***.info/popup/zhu.exe
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook1.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/root.jpg
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/fop.htm : Internet Explorer 7 환경 동작 (접속 차단)
세부적으로 확인을 해보면 index.htm 파일에서 2.html / fop.htm 파일을 불러와 사용자 시스템 환경에 따라 동작하도록 구성되어 있습니다.
2.html 파일은 Internet Explorer 취약점 CVE-2010-0806을 이용한 방식으로 MS10-018 보안 패치를 적용하지 않은 사용자는 자동으로 감염되도록 구성되어 있으며, 현재 하우리 바이로봇(Hauri ViRobot) 보안 제품에서 JS.S.EX-CVE-2010-0806.1484.B 진단명으로 진단되고 있습니다.
최종적으로 다운로드되는 zhu.exe(MD5 : 92ee97f0d4b08abd97defb5eb12e7e0e) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack (VirusTotal : 14/42) 진단명으로 진단되고 있습니다.
[zhu.exe 생성 파일 정보]
C:\Windows\System32\imm32.dll
C:\Windows\System32\imm32.dll.log : imm32.dll 백업 파일(정상)
C:\Windows\System32\ole.dll
C:\Windows\System32\imm32.dll
C:\Windows\System32\imm32.dll.log : imm32.dll 백업 파일(정상)
C:\Windows\System32\ole.dll
해당 악성코드에 감염된 사용자는 Windows 시스템 파일 imm32.dll 파일을 imm32.dll.log 파일로 백업하고 변조된 imm32.dll 파일로 바꿔치기를 시도하고 있으며, ole.dll 파일을 생성하여 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 추가되어 정보를 수집하는 동작을 합니다.
imm32.dll 파일 변조와 관련해서는 ASEC 대응팀에 게시된 글을 참고하시기 바라며, 해당 악성코드에 감염된 사용자는 반드시 보안 제품을 이용하여 진단 및 치료를 완료한 후, 각종 인터넷 사이트 가입 비밀번호를 변경하시는 것을 잊지 않도록 하시기 바랍니다.
최근 마이센스 코드를 이용한 주기적인 악성코드 유포 행위가 계속적으로 발생할 것으로 추정되므로 해당 문제가 해결될 때까지 스크립트 제거를 통해 방문자들에게 안전한 환경을 제공하도록 하시는 것이 필요해 보입니다.
'벌새::Analysis' 카테고리의 다른 글
| Spam 이메일 : 성인 화상 채팅 샘플 동영상 파일로 위장한 악성코드 - LiveCamPlayer.exe (2010.8.22) (0) | 2010.08.22 |
|---|---|
| 개인정보 보안 솔루션 : 씨큐리티119(Security119) - 버전 1.2 (0) | 2010.08.22 |
| 마이센스(Mysense) 코드를 통한 악성코드 유포 (2010.8.22) (8) | 2010.08.22 |
| Spam 이메일 : Daum 쇼핑하우 도메인을 이용한 한글 성인 사이트 홍보 (2010.8.21) (0) | 2010.08.21 |
| Spam 이메일 : What recession, man? (2010.8.20) (0) | 2010.08.20 |
| 개인정보 보안 솔루션 : 프라이버시인포(PrivacyInfo) (0) | 2010.08.19 |
댓글을 달아 주세요
지금은 마이센스 코드를 주석처리 해 놨는데
언제쯤 다시 달 수 있을런지요 ㅠㅠ
1개월 정도는 지켜봐야 할 것 같습니다.
아마 유포자가 마이센스를 통한 유포가 파급력이 있다고 판단하는 것 같습니다.
저도 방금 확인하고 다시 떼어버렸네요. 유포자가 마이센스를 노리는거 같아요. 이젠 제트센스를 써야할까요?
제트센스는 아직 살펴보지 않았지만 거기도 공격자가 노리면 개인이 운영할 경우 쉽게 뚫리지 않을까 생각됩니다.
저는 그냥 예전에 사용했던 클릭에이더라는 것으로 돌아 가 버렸습니다.이번에는 악성코드를 퍼트리는 사람도 일단 알것은 알고 있는 모양인것 같습니다.
저는 고민 중입니다.
그냥 달지 않을지 다른걸로 넘어갈지..
비밀댓글입니다
블로그에서는 특별히 문제가 발견되지 않는 것 같습니다.