본문 바로가기

벌새::Analysis

악성코드 유포 : CVE-2010-0806 취약점을 이용한 온라인 게임 계정 탈취 (2010.9.11)

반응형
국내 스포츠 연예 관련 사이트에서 마이크로소프트(Microsoft) Internet Explorer에서 발견된 초기화되지 않은 메모리 손상 취약점(CVE-2010-0806)을 이용한 악성 스크립트를 통해 온라인 게임 계정 정보를 탈취할 목적으로 악성코드가 유포되고 있는 것을 확인할 수 있었습니다.

참고로 해당 취약점에 대하여 MS10-018 보안 패치가 이미 공개된 상태이므로 해당 패치를 설치하지 않은 사용자는 시스템 감염이 이루어질 수 있습니다.

[악성코드 유포 경로]

h**p://www.goodday******.co.kr/js/top/mbanner.js
 ㄴ h**p://222.***.78.**/T.asp : avast! : JS:CVE-2010-0806-AG (VirusTotal : 16/43)
   ㄴ h**p://www.mentor*****.co.kr/media/swf/hi.exe

변조된 해당 사이트에 접속을 시도할 경우 T.asp 악성 스크립트를 통해 보안 패치가 적용되지 않은 사용자는 중앙일보에서 운영하는 숙주 서버에서 hi.exe (MD5 : ea03d79a865f0465a3e41b8d3b0cb263) 파일을 다운로드하도록 구성되어 있습니다.

참고로 hi.exe 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Sasfis (VirusTotal : 27/43) 진단명으로 진단되고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\Tasks\conime.exe : 자가 복제

[시작 프로그램 등록 정보]

(수정 전)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe,

(수정 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = "C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\Tasks\conime.exe"

감염된 시스템에서는 conime.exe 파일을 생성하여 시작 프로그램으로 등록하여 시스템 시작시 자동 실행하도록 구성되어 있습니다.

[추가 다운로드 경로]

h**p://www.plaync***.com/d.txt
 ㄴ h**p://festival2.coco***.com/info/images/hi.exe

conime.exe 파일은 최종적인 목표인 온라인 게임 계정 정보를 수집하기 위하여 추가적으로 특정 서버에 접속하여 또 다른 hi.exe (MD5 : ceca122d001dffe4a845529fff8a65b8) 파일을 다운로드를 시도하며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\wktkt.exe : 자가 복제

[시작 프로그램 등록 정보]

(수정 전)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe,

(수정 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = "C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,wktkt.exe"

hi.exe 파일은 Windows 시스템 폴더에 wktkt.exe 파일로 복제가 이루어지며, 레지스트리에 자신을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

해당 악성코드는 사용자가 온라인 게임 계정에 로그인을 시도할 경우 정보를 수집하여 미국에 위치한 특정 서버로 정보를 유출하는 동작이 있습니다.

이처럼 이미 공개된 보안 패치를 설치하지 않는 사용자는 방문자가 많은 특정 인터넷 사이트 접속으로 개인정보가 외부로 유출될 수 있으므로 반드시 보안 패치를 모두 설치하는 습관을 가지시기 바라며, 신뢰할 수 있는 보안 제품을 이용하여 시스템을 보호하시기 바랍니다.

특히 특정 사이트 방문시 악성 스크립트를 진단하게 되는 경우 해당 사이트의 문제가 해결될 때까지 당분간 접속을 금하시는 것이 보안상 안전합니다.

728x90
반응형
  • 매번 좋은 정보 감사합니다 ^-^)/

    근데 한가지 여쭤봐도 되나요; 제가 현재 마이크로소프트 시큐리티 에센셜을 사용 중인데 이 제품도 자체 보호 기능이 제공되는건가요?

    비스타 서비스팩2에 자체 방화벽이랑 UAC 등 다 켜고 이녀석 쓰는데 별도로 통합 제품은 너무 무거울 것 같고 해서 사용중입니다-

    • 제가 알기로는 MSE에서 자체 보호 기능이 완벽하지는 않고 개선은 되는 것 같습니다.

      개인적으로 MSE 진단 능력은 후한 점수를 주고 싶습니다.

      단지 옵션이 너무 빈약한게 아쉽죠.

  • 저도 모르게 벌새님 글을 보고 미진단 업체에 샘플을 제공해 버렸습니다.^^

  • 그런데 2010.10.02 23:39 댓글주소 수정/삭제 댓글쓰기

    지금 제 PC 프로세서에도 conime라는 프로세서가 있는데
    혹시 저도 감염된 건가요?
    해결 못하나요 이거 ㅠ

    • 안녕하세요.

      단순히 프로세스 이름으로 악성 여부를 확인하기는 어렵습니다.

      하지만 말씀하신 conime.exe 프로세는 마이크로소프트의 IME 관련 정상적인 프로세스로 보입니다.