h**p://www.han***.co.kr/js/common.js
ㄴ h**p://www.518***.com/tj.html?zhizun
ㄴ h**p://js.users.51.la/2571004.js
ㄴ h**p://liu.caishen***.com/1/2.htm <AhnLab V3 : Exploit/Cve-2010-0806>
ㄴ h**p://liu.caishen***.com/1/ie.jpg <Hauri ViRobot : JS.S.Zapchast.340>
ㄴ h**p://liu.caishen***.com/1/iee.jpg <nProtect : Script/W32.Agent.KK>
ㄴ h**p://xiazai.****.info/1/ma.exe
ㄴ h**p://www.518***.com/tan.js
ㄴ h**p://www.456**.info : 중국 광고 사이트
대략적인 유포 흐름도를 살펴보면 해당 사이트의 common.js 스크립트 내부에 악성 iframe을 추가하여 2.htm 파일에 포함된 CVE-2010-0806 취약점을 이용한 악성 스크립트와 함께 추가적으로 tan.js 스크립트를 이용한 중국 성인 광고 사이트가 노출되도록 구성되어 있습니다.
2010년 3월 31일 공개된 초기화되지 않은 메모리 손상 취약점(CVE-2010-0806)에 대한 보안 패치를 적용하지 않은 시스템이 해당 변조 사이트에 접속시 시스템 감염이 발생할 수 있으므로 반드시 보안 패치를 설치하시고 인터넷을 이용하시기 바랍니다.
최종적으로 사용자 컴퓨터에 설치되는 ma.exe(MD5 : a2560b96d0b56b932699015343238854) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.Rshot (VirusTotal : 33/43) 진단명으로 진단되며, 해당 악성코드는 온라인 게임 계정 정보를 탈취할 목적으로 제작된 것으로 알려져 있습니다.
C:\Program Files\IeProtect360a.exe (MD5 : 0f0050528d332034869bd5eed46fda5d)
- AhnLab V3 : Win-Trojan/Rshot.28617
C:\WINDOWS\system32\imm32.dll (MD5 : a6292c9f8d32a5fb5aa72dfe9d347101)
- AhnLab V3 : TrojanWin32.Patched
C:\WINDOWS\system32\imm32.dll.log : imm32.dll 정상 파일
C:\WINDOWS\system32\ole.dll (MD5 : 898f95a123f9a96b0cc80d481b39d1c9)
- AhnLab V3 : Trojan/Win32.OnlineGameHack
해당 악성코드는 정상적인 imm32.dll 파일을 패치하여 정상적인 파일은 imm32.dll.log 파일로 확장자 변경을 하며, Internet Explorer 실행시 iexplore.exe 프로세스에 ole.dll 파일을 추가하여 온라인 게임 계정 정보를 수집하는 것으로 보입니다.
h**p://www.518***.com/tz.html
ㄴ h**p://js.users.51.la/1770980.js
ㄴ h**p://www.456**.info
또한 감염된 시스템에서 Internet Explorer 실행시 중국에서 등록한 특정 도메인으로 연결을 시도하는 동작을 함께 확인할 수 있는 특징이 있습니다.
만약 보안 패치를 적용하지 않아 감염이 발생한 컴퓨터의 경우에는 게임 사이트 로그인을 하지 마시고, 신뢰할 수 있는 유명 보안 제품을 이용하여 치료 후 가입한 사이트 비밀번호 변경을 추가적으로 하시는 것이 가장 안전합니다.
주말을 이용한 위와 같은 유명 사이트 변조를 통한 악성코드 유포는 사이트 관리자의 대응이 늦다는 점을 충분히 이용하는 방식으로 사용자들은 Windows 보안 패치 및 자신들이 사용하는 각종 유명 소프트웨어의 최신 버전을 체크하여 업데이트를 하시는 습관이 필요하겠습니다.