최근 발생한 구글 애드센스(Google Adsense) 부정 클릭 방지 서비스인 마이센스(Mysense) 코드에 악성 iframe을 추가하여 악성코드를 유포하는 행위가 이번 주말에 재발생하고 있는 부분을 확인하였습니다.
[악성코드 유포 경로]
h**p://****.jjang*.co.kr/data/homework/item/me/index.htm
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/2.html : CVE-2010-0806 취약점
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/top.jpg
ㄴ h**p://game.huari***.info/popup/zhu.exe
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook1.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/root.jpg
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/fop.htm : Internet Explorer 7 환경 동작 (접속 차단)
h**p://****.jjang*.co.kr/data/homework/item/me/index.htm
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/2.html : CVE-2010-0806 취약점
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/top.jpg
ㄴ h**p://game.huari***.info/popup/zhu.exe
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/cook1.jpg
ㄴh**p://****.jjang*.co.kr/data/homework/item/me/root.jpg
ㄴ h**p://****.jjang*.co.kr/data/homework/item/me/fop.htm : Internet Explorer 7 환경 동작 (접속 차단)
세부적으로 확인을 해보면 index.htm 파일에서 2.html / fop.htm 파일을 불러와 사용자 시스템 환경에 따라 동작하도록 구성되어 있습니다.
2.html 파일은 Internet Explorer 취약점 CVE-2010-0806을 이용한 방식으로 MS10-018 보안 패치를 적용하지 않은 사용자는 자동으로 감염되도록 구성되어 있으며, 현재 하우리 바이로봇(Hauri ViRobot) 보안 제품에서 JS.S.EX-CVE-2010-0806.1484.B 진단명으로 진단되고 있습니다.
최종적으로 다운로드되는 zhu.exe(MD5 : 92ee97f0d4b08abd97defb5eb12e7e0e) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack (VirusTotal : 14/42) 진단명으로 진단되고 있습니다.
[zhu.exe 생성 파일 정보]
C:\Windows\System32\imm32.dll
C:\Windows\System32\imm32.dll.log : imm32.dll 백업 파일(정상)
C:\Windows\System32\ole.dll
C:\Windows\System32\imm32.dll
C:\Windows\System32\imm32.dll.log : imm32.dll 백업 파일(정상)
C:\Windows\System32\ole.dll
해당 악성코드에 감염된 사용자는 Windows 시스템 파일 imm32.dll 파일을 imm32.dll.log 파일로 백업하고 변조된 imm32.dll 파일로 바꿔치기를 시도하고 있으며, ole.dll 파일을 생성하여 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 추가되어 정보를 수집하는 동작을 합니다.
imm32.dll 파일 변조와 관련해서는 ASEC 대응팀에 게시된 글을 참고하시기 바라며, 해당 악성코드에 감염된 사용자는 반드시 보안 제품을 이용하여 진단 및 치료를 완료한 후, 각종 인터넷 사이트 가입 비밀번호를 변경하시는 것을 잊지 않도록 하시기 바랍니다.
최근 마이센스 코드를 이용한 주기적인 악성코드 유포 행위가 계속적으로 발생할 것으로 추정되므로 해당 문제가 해결될 때까지 스크립트 제거를 통해 방문자들에게 안전한 환경을 제공하도록 하시는 것이 필요해 보입니다.
'벌새::Analysis' 카테고리의 다른 글
| Spam 이메일 : 성인 화상 채팅 샘플 동영상 파일로 위장한 악성코드 - LiveCamPlayer.exe (2010.8.22) (0) | 2010.08.22 |
|---|---|
| 개인정보 보안 솔루션 : 씨큐리티119(Security119) - 버전 1.2 (0) | 2010.08.22 |
| 마이센스(Mysense) 코드를 통한 악성코드 유포 (2010.8.22) (8) | 2010.08.22 |
| Spam 이메일 : Daum 쇼핑하우 도메인을 이용한 한글 성인 사이트 홍보 (2010.8.21) (0) | 2010.08.21 |
| Spam 이메일 : What recession, man? (2010.8.20) (0) | 2010.08.20 |
| 개인정보 보안 솔루션 : 프라이버시인포(PrivacyInfo) (0) | 2010.08.19 |
울지않는 벌새
울지않는벌새가 되고 싶은 나..
Tag Adsense,
ahnlab,
chrome,
CVE-2010-0806,
Dropper/Win32.Onlinegamehack,
Firefox,
Google,
Hauri,
iframe,
imm32.dll,
imm32.dll.log,
Internet Explorer,
JS.S.EX-CVE-2010-0806.1484.B,
MS10-018,
Mysense,
ole.dll,
V3,
ViRobot,
경고창,
구글,
마이센스,
바이로봇,
보안 패치,
블로그,
비밀번호,
스크립트,
악성코드,
안철수연구소,
애드센스,
온라인 게임,
웹 브라우저,
웹하드,
인터넷,
취약점,
크롬,
트로이목마,
하우리
