울지않는벌새 : Security, Movie & Society

악성코드 유포 : yahoo.js 악성 파일을 이용한 온라인 게임 계정 탈취 (2010.9.24)

벌새::Analysis
최근 중국 악성코드 유포 조직이 국내 인터넷 사용자를 대상으로 한 ARP Spoofing 공격을 이용한 온라인 게임 계정 탈취 목적의 악성코드 유포가 극성을 떨고 있습니다.

보안 패치가 정상적으로 적용되지 않은 시스템을 이용하여 특정 인터넷 사이트에 접속시 yahoo.js 파일을 통해 최종적으로 온라인 게임 계정 탈취를 위한 트로이목마(Trojan) 파일을 실행하도록 유도하고 있는 것으로 알려져 있는데, 오늘 확인된 사이트는 독특한 형태로 유포가 이루어지고 있어서 소개를 해 드리겠습니다.

문제의 변조된 사이트는 국내 유명 집중력 향상 학습기 제작 사이트로 현재 해당 사이트에서 회원 가입 과정에서 정상적으로 회원 가입이 이루어지지 않는 문제와 함께 악성코드 유포가 발생할 수 있습니다.

사이트의 회원 가입 과정에서 주소 입력을 위해 우편번호 검색 기능을 이용할 경우, 사용자가 특정 주소를 검색하면 다음과 같은 동작을 확인할 수 있습니다.

외형상 정상적으로 사용자가 검색한 주소 결과가 제시되는 과정에서 중국에서 등록한 도메인으로 추정되는 서버를 통해 yahoo.js 파일을 다수 로딩하는 동작을 확인할 수 있습니다.

이 과정에서 도표와 같은 경로를 통해 취약점을 가진 시스템의 경우 악성코드 감염이 예상됩니다.

실제 사용자는 회원 가입 양식의 주소란에 해당 yahoo.js 스크립트가 삽입되는 현상을 확인할 수 있으며, 이런 동작으로 인하여 정상적인 회원 가입이 이루어지지 않고 있는 것으로 판단됩니다.

참고로 주소란에 강제로 삽입되는 악성 스크립트는 그림과 같이 주소 사이에 yahoo.js 스크립트가 포함되어 있습니다.

[악성코드 유포 경로]

h**p://www.24hk****.com/image/yahoo.js <avast! : HTML:IFrame-GN (VirusTotal : 6/43)>
 ㄴ h**p://www.24hk****.com/image/ad.htm <AVG : Script/Exploit (VirusTotal : 4/43)>
   ㄴ h**p://www.yangzhou-****.com/images/s.exe
 ㄴ h**p://www.24hk****.com/image/news.html <Dr.Web : Exploit.Siggen.11 (VirusTotal : 5/43)>
 ㄴ h**p://www.24hk****.com/image/count.html : 카운터(Counter)

최종적으로 사용자 시스템에 설치되는 s.exe(MD5 : 62fcfc33552c64112d11bf8599aef5f3) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 13/43) 진단명으로 진단되고 있습니다.

[생성 폴더, 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Microsoft
C:\Documents and Settings\(사용자 계정)\Microsoft\smx4pnp.dll (MD5 : 58FC174825E664029E084BD5B1349A86)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - smx4pnp = "rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\smx4pnp.dll", Launch"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
 - PendingFileRenameOperations = "\??\C:\Documents and Settings\(사용자 계정)\Microsoft\smax2e8c0.tmp"

해당 악성코드는 smx4pnp.dll 파일을 rundll32.exe 파일에 삽입하여 Windows 시작시 자동 실행하도록 구성되어 있으며, 특정 서버와 연결을 시도하여 추가적인 악의적 동작을 하는 것으로 판단됩니다.

최근 이루어지고 있는 ARP Spoofing 공격은 감염자의 동일한 네트워크단의 다른 컴퓨터 중 취약한 곳을 찾아 추가적으로 감염을 유발하는 방식으로 꾸준히 변종이 발생하고 있으므로, 사용자는 반드시 공개된 마이크로소프트(Microsoft) 보안 패치를 모두 적용하고 인터넷을 이용하시기 바랍니다.

특히 yahoo.js 관련 보안 제품의 진단 또는 현상을 발견한 사용자는 보안 업체에서 제공하는 전용백신을 이용하시는 것도 권장합니다.

참고로 전용백신을 이용하실 때에는 사용자 컴퓨터에 설치된 실시간 감시를 임시로 OFF하시고 사용하시기 바라며, 감염된 사용자가 치료가 완료되면 반드시 온라인 게임 비밀번호를 교체하시기 바랍니다.