본문 바로가기

벌새::Analysis

CVE-2010-0806 / CVE-2010-3962 취약점을 이용한 온라인 게임 계정 탈취 (2011.2.19)

728x90
반응형
최근 미국(USA)에 위치한 서버에 악성 파일을 등록하고 국내 광고 서버, 웹하드, 언론사 등 다양한 인터넷 서비스를 해킹하여 온라인 게임 계정 정보를 탈취하는 활동이 확인되고 있습니다.

이들 악성코드 유포에는 2010년에 알려진 Internet Explorer 보안 취약점을 이용하여 보안 패치가 적용되지 않은 사용자가 특정 인터넷 사이트에 접속시 감염이 유발되므로 주의가 요구됩니다.

예를 들어 국내 유명 광고 서버의 경우 광고 코드가 포함된 경로를 통해 인터넷 쇼핑몰에 접속이 이루어질 경우 그림과 같이 악성 스크립트가 추가되는 것을 확인할 수 있습니다.

[악성코드 유포 경로]

h**p://204.***.243.***:89/file/code.js
 ㄴ h**p://204.***.243.***:89/file/vtyep.htm
   ㄴ h**p://images.stmai***.com/images/785315637.Jpg
 ㄴ h**p://204.***.243.***:89/file/veuoa.htm
   ㄴ h**p://images.stmai***.com/images/785315637.Jpg
 ㄴ h**p://204.***.243.***:89/file/rospt.html
   ㄴ h**p://count22.51yes.com/click.aspx?id=220000494&logo=6

광고 코드에 포함된 code.js 악성 스크립트는 추가적으로 vtyep.htm / veuoa.htm / rospt.html 3개의 iframe으로 구성되어 있습니다.
vtyep.htm 파일은 CVE-2010-0806 취약점을 이용하여 MS10-018 보안 패치가 적용되지 않은 PC의 경우 자동으로 감염이 이루어집니다.
veuoa.htm 파일은 CVE-2010-3962 취약점을 이용하여 2010년 12월에 공개된 MS10-090 Internet Explorer 누적 보안 업데이트 패치가 적용되지 않은 PC의 경우 자동으로 감염됩니다.

만약 감염이 이루어진 PC에서는 785315637.jpg (MD5 : 3aff378e855afc47f7812d2f3ad92505) 파일을 다운로드하여 시스템에 악성 파일을 등록하며, 해당 파일에 대하여 Kaspersky 보안 제품에서는 Packed.Win32.Klone.bq (VirusTotal : 12/43) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 / 레지스트리 등록 정보]

C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.dll :: 시작 프로그램 등록 파일
 - Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 14/43)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - snlogins = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.dll", DLaunchC

rundll32.exe

해당 악성코드는 최초 [C:\Documents and Settings\(사용자 계정)\Microsoft] 폴더를 생성하여 snlogins.dll (MD5 : cb74ecffbe7a4323fc04c8464352c41a) 파일을 생성하며, 해당 파일을 정상적인 rundll32.exe(C:\WINDOWS\system32\rundll32.exe) 프로세스에 추가하는 방식으로 시스템 시작시 자동 실행되도록 구성합니다.

사용자가 감염된 상태에서 시스템 재부팅이 이루어지면 시작 프로그램으로 등록된 snlogins.dll 파일은 rundll32.exe 프로세스에 추가되어 실행되는 과정에서 미국에 위치한 특정 서버(h**p://96.**.169.*:61688/img/img.txt)에서 letfortion.exe 파일을 다운로드하여 시스템 폴더에 WFCO0FAT.exe 파일로 자가 복제를 합니다.

[생성 파일 등록 /  진단 정보]

C:\WINDOWS\system32\WFCO0FAT.exe :: 숨김(H), 읽기(R) 속성 / 시작 프로그램 등록 파일 (MD5 : ff50cc1cdd86002cf6a976b1d1261d77)
 - Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 7/43)

C:\WINDOWS\system32\WFCO0FAT10.dll :: 숨김(H), 읽기(R) 속성 (MD5 : 38816a206196ecb95fef8ef745fa31e7)
 - Kaspersky : Packed.Win32.Klone.bq (VirusTotal : 11/43)

C:\WINDOWS\system32\WFCO0FAT20.dll :: BHO 등록 파일 (MD5 : 03b00890710a76b6a58f5cd075b0542b)
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 15/43)

C:\Documents and Settings\(사용자 계정)\Microsoft\snlogins.log

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj
HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1
HKEY_CLASSES_ROOT\Interface\{94AC7941-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CLASSES_ROOT\TypeLib\{94AC7948-7BE1-4FB9-A7CA-67CD88362758}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WFCO0FAT = C:\WINDOWS\system32\WFCO0FAT.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}

생성된 파일 중 WFCO0FAT.exe 파일은 시작 프로그램으로 등록하여 자동 실행되며, WFCO0FAT20.dll 파일은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 BHO 방식으로 등록되어 정보 유출을 담당합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

IEHlprObj Class
 - 게시자 : 알 수 없음
 - CLSID : {94AC7942-7BE1-4FB9-A7CA-67CD88362758}
 - 파일 : C:\WINDOWS\system32\WFCO0FAT20.dll

WFCO0FAT20.dll

사용자가 Internet Explorer를 이용하여 악성 파일에 등록된 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 계정 정보가 외부로 유출되는 방식으로 등록되어 있는 것을 확인할 수 있습니다.

그러므로 이런 방식의 악성코드에 감염되지 않는 기본적인 보안 정책은 반드시 공개된 보안 패치를 모두 설치하시고 인터넷을 이용하시기 바라며, 감염이 의심될 경우에는 절대로 인터넷 사이트 로그인을 하지 말고 보안 제품을 이용하여 정밀 검사 및 치료를 하시기 바랍니다.

만약 로그인 동작이 있었을 경우에는 치료 후 반드시 회원 가입 사이트 비밀번호를 교체하는 것이 제2의 피해를 예방할 수 있습니다.

만약 수동으로 해당 악성코드를 제거하기 위해서는 작업 관리자에서 rundll32.exe 프로세스 수동 종료 및 모든 Internet Explorer를 종료한 상태에서 생성 폴더(파일), 레지스트리를 찾아 수동으로 삭제하시기 바랍니다.

참고로 일부 악성 파일이 윈도우 탐색기에서 보이지 않을 경우에는 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목의 체크를 해제하시기 바라며, [숨김 파일 및 폴더 표시] 항목에 체크를 하시기 바랍니다.
728x90
반응형