728x90
반응형
2010년 12월 전후로 그동안 네이트온(NateOn) 메신저의 악성 파일 유포 방식이 직접적인 파일 다운로드 방식에서 특정 인터넷 게시판으로 접속을 유도하여 웹 브라우저 보안 취약점을 이용한 자동 감염을 유발하는 방식으로 유포하기 시작하였습니다.
주말을 맞아 최근 유포된 사례를 통해 대략적인 감염 방식과 대응 방법에 대하여 알아보도록 하겠습니다.
먼저, 공격자는 해킹된 특정 네이트온 메신저에 등록된 친구들에게 국내 특정 인터넷 사이트 게시판 URL가 포함된 쪽지를 발송하고, 이를 클릭한 사용자 중 마이크로소프트(Microsoft)사에서 제공하는 최신 보안 패치가 적용되지 않은 경우 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않는 사용자의 경우 자동으로 감염되도록 구성되어 있습니다.
해당 사이트 게시판은 구형 제로보드로 최근 공개된 제로보드 취약점에 노출되어 있는 것으로 추정됩니다.
참고로 k1.html 스크립트는 avast! 보안 제품에서 VBS:Obfuscated-gen (VirusTotal : 5/43) 진단명으로 진단되고 있으며, kr2.html / ie.htm / ff10.htm 스크립트는 해당 게시판에 수많은 인터넷 이용자가 접속하여 다운로드 되는 과정에서 트래픽 초과로 감염으로 연결되지 않는 상태입니다.
이렇게 특정 취약점을 이용한 kr1.html / kr2.html 스크립트는 보안 취약점이 존재하는 사용자의 경우 자동으로 snows.jpg (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b) 파일을 다운로드하여 악성 파일을 설치합니다.
생성된 파일의 속성은 모두 숨김(H), 시스템(S) 속성으로 인하여 윈도우 탐색기의 기본값으로는 보이지 않으며, 숨김 폴더(파일)을 보이도록 폴더 옵션을 변경하여도 보이지 않습니다.
또한 Windows 시작시마다 winweng.exe 파일을 자동 실행하여 보안 제품이 실행되지 않도록 하며, 삭제된 악성 파일을 다시 설치하는 동작이 이루어집니다.
해당 악성코드는 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winpingying.ime 파일을 추가하여 온라인 게임 계정 정보 탈취 등의 악의적 동작이 이루어지므로, 감염된 사용자는 반드시 치료 후 계정 비밀번호를 변경하시는 것이 중요합니다.
해당 악성코드의 유포 방식의 핵심은 공개된 보안 패치를 하지 않고 인터넷을 이용하는 사용자에게 금전적 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 자신의 PC에서 사용하는 소프트웨어를 최신 버전으로 꾸준하게 유지 관리하는 습관을 가지시기 바랍니다.
주말을 맞아 최근 유포된 사례를 통해 대략적인 감염 방식과 대응 방법에 대하여 알아보도록 하겠습니다.
[악성코드 유포 경로]
h**p://www.green****.org/zboard/view.php?id=notice&no=71
ㄴ h**p://si**.net/zb/****/poempds/index.html
ㄴ h**p://si**.net/zb/****/poempds/main.html
ㄴ h**p://si**.net/zb/****/poempds/kr1.html
ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
ㄴ h**p://si**.net/zb/****/poempds/kr2.html
ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
ㄴ h**p://si**.net/zb/****/poempds/in.js
ㄴ h**p://si**.net/zb/****/poempds/ie.htm
ㄴ h**p://si**.net/zb/****/poempds/ff10.htm
ㄴ h**p://www.bannam****.org/bbs/****/gallery/ajax.js
ㄴ h**p://hm.baidu.com/h.js?e3feb2116145e7efaa5da1104800440b
ㄴ h**p://www.**521.com/test.htm
h**p://www.green****.org/zboard/view.php?id=notice&no=71
ㄴ h**p://si**.net/zb/****/poempds/index.html
ㄴ h**p://si**.net/zb/****/poempds/main.html
ㄴ h**p://si**.net/zb/****/poempds/kr1.html
ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
ㄴ h**p://si**.net/zb/****/poempds/kr2.html
ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
ㄴ h**p://si**.net/zb/****/poempds/in.js
ㄴ h**p://si**.net/zb/****/poempds/ie.htm
ㄴ h**p://si**.net/zb/****/poempds/ff10.htm
ㄴ h**p://www.bannam****.org/bbs/****/gallery/ajax.js
ㄴ h**p://hm.baidu.com/h.js?e3feb2116145e7efaa5da1104800440b
ㄴ h**p://www.**521.com/test.htm
먼저, 공격자는 해킹된 특정 네이트온 메신저에 등록된 친구들에게 국내 특정 인터넷 사이트 게시판 URL가 포함된 쪽지를 발송하고, 이를 클릭한 사용자 중 마이크로소프트(Microsoft)사에서 제공하는 최신 보안 패치가 적용되지 않은 경우 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않는 사용자의 경우 자동으로 감염되도록 구성되어 있습니다.
해당 사이트 게시판은 구형 제로보드로 최근 공개된 제로보드 취약점에 노출되어 있는 것으로 추정됩니다.
참고로 k1.html 스크립트는 avast! 보안 제품에서 VBS:Obfuscated-gen (VirusTotal : 5/43) 진단명으로 진단되고 있으며, kr2.html / ie.htm / ff10.htm 스크립트는 해당 게시판에 수많은 인터넷 이용자가 접속하여 다운로드 되는 과정에서 트래픽 초과로 감염으로 연결되지 않는 상태입니다.
이렇게 특정 취약점을 이용한 kr1.html / kr2.html 스크립트는 보안 취약점이 존재하는 사용자의 경우 자동으로 snows.jpg (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b) 파일을 다운로드하여 악성 파일을 설치합니다.
[생성 파일 등록 정보]
C:\WINDOWS\system\Lcomres.dat :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\Lins.log :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winpingying.ime :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winweng.exe :: 숨김(H), 시스템(S) 속성 / 시작 프로그램 등록 파일
[생성 파일 진단 정보]
C:\WINDOWS\system\Lins.log (SHA1 : fb8c2f8d2fb36cb972123322531fa916f172d754)
- Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 1/43)
C:\WINDOWS\system\winpingying.ime (SHA1 : ae4a74e3343bca12c5867e5e7843edbbdc71b5cf)
- avast! : Win32:Agent-OBK (VirusTotal : 8/43)
C:\WINDOWS\system\winweng.exe (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b)
- Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 21/42)
C:\WINDOWS\system\Lcomres.dat :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\Lins.log :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winpingying.ime :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winweng.exe :: 숨김(H), 시스템(S) 속성 / 시작 프로그램 등록 파일
[생성 파일 진단 정보]
C:\WINDOWS\system\Lins.log (SHA1 : fb8c2f8d2fb36cb972123322531fa916f172d754)
- Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 1/43)
C:\WINDOWS\system\winpingying.ime (SHA1 : ae4a74e3343bca12c5867e5e7843edbbdc71b5cf)
- avast! : Win32:Agent-OBK (VirusTotal : 8/43)
C:\WINDOWS\system\winweng.exe (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b)
- Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 21/42)
생성된 파일의 속성은 모두 숨김(H), 시스템(S) 속성으로 인하여 윈도우 탐색기의 기본값으로는 보이지 않으며, 숨김 폴더(파일)을 보이도록 폴더 옵션을 변경하여도 보이지 않습니다.
[시작 프로그램 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- (기본값) = C:\WINDOWS\system\winweng.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- (기본값) = C:\WINDOWS\system\winweng.exe
또한 Windows 시작시마다 winweng.exe 파일을 자동 실행하여 보안 제품이 실행되지 않도록 하며, 삭제된 악성 파일을 다시 설치하는 동작이 이루어집니다.
해당 악성코드는 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winpingying.ime 파일을 추가하여 온라인 게임 계정 정보 탈취 등의 악의적 동작이 이루어지므로, 감염된 사용자는 반드시 치료 후 계정 비밀번호를 변경하시는 것이 중요합니다.
해당 악성코드의 유포 방식의 핵심은 공개된 보안 패치를 하지 않고 인터넷을 이용하는 사용자에게 금전적 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 자신의 PC에서 사용하는 소프트웨어를 최신 버전으로 꾸준하게 유지 관리하는 습관을 가지시기 바랍니다.
728x90
반응형