본문 바로가기

벌새::Analysis

악성코드 유포 : yahoo.js 악성 파일을 이용한 온라인 게임 계정 탈취 (2010.9.24)

최근 중국 악성코드 유포 조직이 국내 인터넷 사용자를 대상으로 한 ARP Spoofing 공격을 이용한 온라인 게임 계정 탈취 목적의 악성코드 유포가 극성을 떨고 있습니다.

보안 패치가 정상적으로 적용되지 않은 시스템을 이용하여 특정 인터넷 사이트에 접속시 yahoo.js 파일을 통해 최종적으로 온라인 게임 계정 탈취를 위한 트로이목마(Trojan) 파일을 실행하도록 유도하고 있는 것으로 알려져 있는데, 오늘 확인된 사이트는 독특한 형태로 유포가 이루어지고 있어서 소개를 해 드리겠습니다.

문제의 변조된 사이트는 국내 유명 집중력 향상 학습기 제작 사이트로 현재 해당 사이트에서 회원 가입 과정에서 정상적으로 회원 가입이 이루어지지 않는 문제와 함께 악성코드 유포가 발생할 수 있습니다.

사이트의 회원 가입 과정에서 주소 입력을 위해 우편번호 검색 기능을 이용할 경우, 사용자가 특정 주소를 검색하면 다음과 같은 동작을 확인할 수 있습니다.

외형상 정상적으로 사용자가 검색한 주소 결과가 제시되는 과정에서 중국에서 등록한 도메인으로 추정되는 서버를 통해 yahoo.js 파일을 다수 로딩하는 동작을 확인할 수 있습니다.

이 과정에서 도표와 같은 경로를 통해 취약점을 가진 시스템의 경우 악성코드 감염이 예상됩니다.

실제 사용자는 회원 가입 양식의 주소란에 해당 yahoo.js 스크립트가 삽입되는 현상을 확인할 수 있으며, 이런 동작으로 인하여 정상적인 회원 가입이 이루어지지 않고 있는 것으로 판단됩니다.

참고로 주소란에 강제로 삽입되는 악성 스크립트는 그림과 같이 주소 사이에 yahoo.js 스크립트가 포함되어 있습니다.

[악성코드 유포 경로]

h**p://www.24hk****.com/image/yahoo.js <avast! : HTML:IFrame-GN (VirusTotal : 6/43)>
 ㄴ h**p://www.24hk****.com/image/ad.htm <AVG : Script/Exploit (VirusTotal : 4/43)>
   ㄴ h**p://www.yangzhou-****.com/images/s.exe
 ㄴ h**p://www.24hk****.com/image/news.html <Dr.Web : Exploit.Siggen.11 (VirusTotal : 5/43)>
 ㄴ h**p://www.24hk****.com/image/count.html : 카운터(Counter)

최종적으로 사용자 시스템에 설치되는 s.exe(MD5 : 62fcfc33552c64112d11bf8599aef5f3) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 13/43) 진단명으로 진단되고 있습니다.

[생성 폴더, 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Microsoft
C:\Documents and Settings\(사용자 계정)\Microsoft\smx4pnp.dll (MD5 : 58FC174825E664029E084BD5B1349A86)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - smx4pnp = "rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\smx4pnp.dll", Launch"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
 - PendingFileRenameOperations = "\??\C:\Documents and Settings\(사용자 계정)\Microsoft\smax2e8c0.tmp"

해당 악성코드는 smx4pnp.dll 파일을 rundll32.exe 파일에 삽입하여 Windows 시작시 자동 실행하도록 구성되어 있으며, 특정 서버와 연결을 시도하여 추가적인 악의적 동작을 하는 것으로 판단됩니다.

최근 이루어지고 있는 ARP Spoofing 공격은 감염자의 동일한 네트워크단의 다른 컴퓨터 중 취약한 곳을 찾아 추가적으로 감염을 유발하는 방식으로 꾸준히 변종이 발생하고 있으므로, 사용자는 반드시 공개된 마이크로소프트(Microsoft) 보안 패치를 모두 적용하고 인터넷을 이용하시기 바랍니다.

특히 yahoo.js 관련 보안 제품의 진단 또는 현상을 발견한 사용자는 보안 업체에서 제공하는 전용백신을 이용하시는 것도 권장합니다.

참고로 전용백신을 이용하실 때에는 사용자 컴퓨터에 설치된 실시간 감시를 임시로 OFF하시고 사용하시기 바라며, 감염된 사용자가 치료가 완료되면 반드시 온라인 게임 비밀번호를 교체하시기 바랍니다.

  • 월매 2010.09.25 16:56 댓글주소 수정/삭제 댓글쓰기

    해당 증상을 안랩에 신고 하였더니 다음과 같은 답변을 받았습니다.

    1번째 답변

    보내주신 그림파일을 확인해 보니 해당 URL은 ARP Spoofing 악성코드를 배포하는 URL로 확인됩니다.고객님 시스템이 감염된 상태는 아니고, 다른 시스템으로부터 공격을 받고 있는 상태인 것으로 판단됩니다.

    아래 ASEC대응팀 블로그에 게시되어 있는 ARP Spoofing을 유발하는 악성코드에 대한 정보를 확인해 보시고 ARP Spoofing 유발하는 시스템을 찾아 점검하시기 바랍니다.

    http://core.ahnlab.com/223

    만약 블로그에 게시된 탐지/차단 툴을 이용하여 ARP Spoofing을 유발하는 시스템이 고객님께서 사용하는 시스템이 아니라면 인터넷 서비스 제공업체에 문의하시어 조치할 수 있도록 문의해 보시기 바랍니다.


    2번째 답변

    현재 알려주신 xxxxx 사이트는 hxxp://24xxxxxx.com/image/yahoo.js 스크립트를 포함되어 있지 않습니다. 그러므로 앞서 답변해드린 것처럼 고객님 시스템의 동일한 네트워크에 위치한 다른 시스템이 ARP Spoofing 악성코드에 감염되어 고객님 시스템의 ARP 테이블을 변경해서 인터넷 사용시 해당 스크립트가 iFrame 형태에 삽입되어 지는 것으로 보입니다.

    추가로, xxxxx 사이트는 웹해킹이 되어 악성코드를 유포하고 있는 것으로 확인됩니다. 해당 사이트에서 수집된 샘플에 대해서는 금일 긴급엔진에 반영될 수 있도록 하겠습니다.



    무슨말인지 잘 이해가 안가지만 해당 사이트는 해킹되어 있으나 24xxxxxx.com/image/yahoo.js 스크립트는 해킹으로 인해 심어진게 아니라는 것 같네요.

    • 안녕하세요.

      해당 문제 사이트 서버가 어떤 경로를 통해 악성 스크립트가 심어졌는지는 외부에서 알 수 없지만 안랩에서 말하는 것처럼 그런 현상일 수도 있겠죠.^^

    • hoostory 2010.10.06 11:41 댓글주소 수정/삭제

      내용이 어렵긴 하네요..

      arp 스푸핑은 실제 배포 사이트에 iframe 이 추가된것이 아니라.
      ie 를 통해서 웹서핑을 할때, 트래픽에 삽입된것이라는 뜻 으로 보입니다.

      즉, 사이트에는 없지만, 나는 보이므로, 나와 사이트 중간에 삽입된거죠..