울지않는벌새 : Security, Movie & Society

악성코드 유포 : CVE-2010-0806 보안 취약점을 이용한 국내 메타 블로그 변조 (2010.10.27)

벌새::Analysis
근래 국내 인터넷 사이트 변조를 통한 Internet Explorer 보안 취약점 CVE-2010-0806를 이용한 온라인 게임 계정 탈취 목적의 트로이목마(Trojan) 유포 행위가 주기적으로 이루어지고 있습니다.

해당 유포에 대해 개인 사용자가 최우선적으로 방어할 수 있는 방법은 반드시 해당 취약점에 대한 보안 패치를 설치하시는 일이며, 차선책으로 보안 제품을 통해 시스템을 보호하실 수 있습니다.

보안 패치가 적용된 시스템에서는 비록 변조된 인터넷 사이트 방문시 보안 제품에서 악성 스크립트의 진단에 상관없이 시스템 감염이 발생하지 않습니다.

[유포 경로]

h**p://www.media***.co.kr/lib/rico/rico.js
 ㄴ h**p://222.***.63.***/RECYCLER/k.asp :: avast! : JS:CVE-2010-0806-AG [Expl]
   ㄴ h**p://222.***.63.***/RECYCLER/b.exe

오늘 확인한 변조 사이트 중 많은 블로그 글을 수집하는 메타 블로그에서 CVE-2010-0806 취약점을 이용한 악성 스크립트가 삽입되어 있는 것을 확인할 수 있었습니다.


해당 사이트의 정상적인 rico.js 파일 내부에 악성 iframe을 난독화 방식으로 삽입하여 국내 아이피(IP)로 추정되는 [222.***.63.***]을 통해 최종적으로 b.exe 파일을 실행하도록 구성되어 있습니다.

b.exe (MD5 : 51e00ff38b18e4c3dfcdb7a9016fa81e) 파일은 현재 Kaspersky 보안 제품에서 Packed.Win32.Krap.g (VirScan.org : 9/36) 진단명으로 진단되고 있는 것을 확인할 수 있으며, 관련 파일은 국내 보안 업체 일부에 신고된 상태입니다.

[변경 전 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe,

[변경 후 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = "C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,krabt.exe"

해당 악성코드에 감염된 경우 [C:\WINDOWS\system32\krabt.exe] 파일을 자가 복제 방식으로 생성하며, Windows 시작시 자동 실행되도록 레지스트리에 등록하여 해외 특정 서버와 연결을 시도하여 추가적인 악성 파일을 다운로드하는 것으로 판단됩니다.

그러므로 보안 패치가 적용되지 않은 시스템에서 감염이 발생하여 온라인 게임 관련 악성코드에 감염된 경우에는 반드시 시스템 정밀 검사를 통한 진단 및 치료와 함께 추가적으로 자신이 사용하는 온라인 게임 계정 비밀번호를 변경하시기 바랍니다.