h**p://click.****price.com/click.php?
ㄴ h**p://www.***communication.co.kr/include/js/comchk.js
ㄴ h**p://www.Gichool****.Com/AlbaTest/b2.asp
ㄴ h**p://www.k1news******.co.kr/k1/cmd.exe
ㄴ h**p://count6.51yes.com/click.aspx?id=64949021&logo=1
ㄴ h**p://www.Gichool****.Com/AlbaTest/b3.asp
ㄴ h**p://www.k1news******.co.kr/k1/cmd.exe
해당 광고 서버에서는 comchk.js 파일을 추가하여 b2.asp / b3.asp 2개의 악성 iframe을 추가하는 방식으로 유포를 시도하고 있습니다.
b2.asp 스크립트에서는 11월 초에 공개된 Internet Explorer 취약점 CVE-2010-3962을 악용하고 있으며, 해당 취약점은 2010년 12월에 제공된 MS10-090 보안 패치를 통해 문제를 해결할 수 있습니다.
참고로 b2.asp 파일에 대하여 BitDefender 엔진에서는 Exploit.CVE-2010-3962.C (VirusTotal : 16/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
b3.asp 스크립트에서는 2010년 3월경 긴급 보안 업데이트를 통하여 보안 패치가 공개된 Internet Explorer 보안 취약점 CVE-2010-0806를 악용하고 있으며, nProtect 보안 제품에서는 Script-JS/W32.Agent.ACA (VirusTotal : 13/43) 진단명으로 진단되고 있습니다.
이들 2건의 취약점에 대한 보안 패치가 이루어지지 않은 Internet Explorer 사용자가 광고 배너 등을 통해 해당 광고 서버에 접속할 경우 사용자 몰래 cmd.exe (SHA1 : b69cc618de9e17c9900770f63cfe2b4ad395fe08) 파일을 다운로드하여 자동 실행되도록 구성되어 있습니다.
해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Spyware/Win32.Xed (VirusTotal : 32/43) 진단명으로 진단되며, 감염시 온라인 게임 계정 정보가 외부로 유출되는 것으로 알려져 있습니다.
C:\WINDOWS\system32\onezr.exe :: 읽기(R) 전용 / cmd.exe 자가 복제 / 시작 프로그램 등록
※ 해당 파일은 (Random 5자리 영문).exe 파일로 생성됩니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
- Userinit = C:\WINDOWS\system32\userinit.exe,onezr.exe :: 변경 후
감염된 PC는 시스템 폴더 내에 임의의 5자리 영문으로 구성된 파일을 생성하며, 레지스트리를 수정하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
그러므로 보안 제품을 통한 치료를 하시기 바라며, 만약 보안 제품에서 진단은 하지만 치료에 실패할 경우에는 Process Explorer를 이용하여 그림과 같이 explorer.exe 프로세스에 잡혀있는 악성 파일을 찾아 [Close Handle]을 한 후 수동으로 파일을 삭제하시기 바랍니다.
이번처럼 유명 광고 서버가 해킹되어 악성코드를 유포할 경우에는 정상적인 인터넷 사이트에 등록된 해당 광고를 통해 손쉽게 감염을 유발할 수 있다는 점에서 일반 사용자들은 반드시 정기적으로 제공되는 보안 패치를 설치하시기 바랍니다.