울지않는벌새 : Security, Movie & Society

악성코드 유포 : S 웹하드 (2010.10.30)

벌새::Analysis
최근들어 국내 유명 웹하드 홈페이지에 접속할 경우 보안 취약점을 악용한 악성 스크립트를 통해 온라인 게임 계정을 탈취할 목적으로 제작된 트로이목마(Trojan)를 유포하는 행위가 계속적으로 확인이 되고 있습니다.

오늘 확인된 국내 S 웹하드 홈페이지를 통해 악성코드 유포가 이루어지는 부분에 대해 살펴보도록 하겠으며, 인터넷 상에서는 해당 서비스를 이용하기 위한 프로그램 실행시에도 사이트 접속과 연결되면서 악성코드 유포가 가능한 것으로 알려져 있으므로 주의가 요구됩니다.


[유포 경로 ①]

h**p://www.share***.co.kr/./main/./js/httpRequest.js
 ㄴ h**p://www.share***.co.kr/./main/./js/http:(일부 생략);.html


이번 유포에서는 정상적인 httpRequest.js 파일 내부에 악성 iframe을 추가하여 사용자가 웹하드 접속시 자동으로 해당 스크립트를 통해 index.html 파일을 불러오도록 구성되어 있습니다.

[유포 경로 ②]

h**p://test.yurin***.com/img/customer/index.html
 ㄴ h**p://test.yurin***.com/img/customer/6.html :: avast! : VBS:Obfuscated-gen
   ㄴ h**p://bbs.zuo***.net/down/1029.exe
 ㄴ h**p://s14.cnzz.com/stat.php?id=2508468&web_id=2508468

index.html 파일은 취약점을 이용한 악성 스크립트 6.html을 실행하여 특정 취약점에 대한 보안 패치가 적용되지 않은 시스템의 경우 최종적으로 1029.exe 파일을 실행하여 시스템 감염을 유발시키고 있습니다.

1029.exe (SHA1 : 4310fd6ebe83590f932843f11824b983f8ed6d6d) 파일은 AVG 보안 제품에서 PSW.OnlineGames3.AYNZ (VirusTotal : 12/43) 진단명으로 진단되고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서도 ASD.Prevention 진단을 통해 사전 차단하고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\imm32.dll :: 수정된 악성 imm32.dll 파일
C:\WINDOWS\system32\imm32.dll.log :: 정상 imm32.dll 파일
C:\WINDOWS\system32\ole.dll (SHA1 : 4310FD6EBE83590F932843F11824B983F8ED6D6D)
 - Microsoft : PWS:Win32/Frethog.MR!dll

해당 악성코드는 정상적인 imm32.dll (110,080 Bytes) 파일을 패치하여 악성 imm32.dll (114,176 Bytes) 파일로 교체하고, 정상적인 imm32.dll 파일은 imm32.dll.log 파일로 백업하는 방식을 취하고 있습니다.

또한 ole.dll 파일을 이용하여 사용자가 Internet Explorer 실행시 iexplore.exe 프로세스에 추가하여 온라인 게임 계정 정보를 수집하여 외부로 유출시키는 것으로 판단됩니다.

위와 같은 정상적인 인터넷 사이트지만 보안상 문제가 있는 웹 사이트를 변조하여 접속자 중 보안 패치가 제대로 이루어지지 않은 경우 감염을 유발하는 행위가 빈번하게 이루어지므로, 사용자는 보안 제품 진단에 앞서 반드시 Windows 보안 패치 및 자신의 PC에 설치된 각종 응용 프로그램의 최신 업데이트를 체크하여 시스템 감염이 이루어지지 않도록 사전 예방을 하시기 바랍니다.

참고로 온라인 게임 관련 악성코드에 감염되어 보안 제품을 통해 치료를 완료한 사용자는 반드시 온라인 게임 등 인터넷 가입 사이트 비밀번호를 모두 서로 다르게 변경하시기 바랍니다.