울지않는벌새 : Security, Movie & Society

악성코드 유포 - M 영화 사이트 (2009.02.18)

벌새::Analysis


[악성코드 유포 경로]

hxxp://203.239.143.136/.img/cs.js <AhnLab V3 : JS/Iframe>
 - hxxp://203.239.143.136/.img/cs.htm <AhnLab V3 : HTML/Downloader>
  -> hxxp://s.jmestar.com/p/i/ibm.exe <AhnLab V3 : Dropper/OnlineGameHack.34304.B>

* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.
* 해당 악성코드는 분석 시점을 기준으로 합니다.


국내 M 영화 사이트에서 악성코드를 유포하고 있는 것을 확인하였습니다.

해당 악성코드는 윈도우(Windows) 보안 취약점 MS06-014를 이용한 것으로 보안 패치가 적용되지 않은 컴퓨터의 경우 접속시 감염이 예상됩니다.


코드 내부에는 위와 같이 국내 포털 사이트 다음(Daum) 사이트를 타이틀로 표시하고 있는 점을 통해 국내를 표적으로 하고 있음을 확인할 수 있습니다.

[ibm.exe]

Antivirus Version Last Update Result
a-squared 4.0.0.93 2009.02.18 -
AhnLab-V3 2009.2.17.2 2009.02.18 Dropper/OnlineGameHack.34304.B
AntiVir 7.9.0.83 2009.02.18 TR/Spy.Gen
Authentium 5.1.0.4 2009.02.18 W32/SYStroj.N.gen!Eldorado
Avast 4.8.1335.0 2009.02.17 Win32:Spyware-gen
AVG 8.0.0.237 2009.02.18 Rootkit-Agent.CG
BitDefender 7.2 2009.02.18 Rootkit.Agent.XN
CAT-QuickHeal 10.00 2009.02.18 -
ClamAV 0.94.1 2009.02.18 -
Comodo 983 2009.02.18 -
DrWeb 4.44.0.09170 2009.02.18 MULDROP.Trojan
eSafe 7.0.17.0 2009.02.17 Win32.TRSpy
eTrust-Vet 31.6.6363 2009.02.18 Win32/Farfli!generic
F-Prot 4.4.4.56 2009.02.17 W32/SYStroj.N.gen!Eldorado
F-Secure 8.0.14470.0 2009.02.18 Trojan.Win32.Agent2.dro
Fortinet 3.117.0.0 2009.02.18 W32/Agent2.DRO!tr
GData 19 2009.02.18 Win32:Spyware-gen
Ikarus T3.1.1.45.0 2009.02.18 -
K7AntiVirus 7.10.630 2009.02.18 -
Kaspersky 7.0.0.125 2009.02.18 Trojan.Win32.Agent2.dro
McAfee 5529 2009.02.17 -
McAfee+Artemis 5529 2009.02.17 Generic!Artemis
Microsoft 1.4306 2009.02.18 PWS:Win32/Frethog.BS
NOD32 3864 2009.02.18 -
Norman 6.00.06 2009.02.17 W32/Malware
nProtect 2009.1.8.0 2009.02.18 Trojan/W32.Agent2.34304
Panda 9.4.3.20 2009.02.18 -
PCTools 4.4.2.0 2009.02.18 -
Prevx1 V2 2009.02.18 -
Rising 21.17.22.00 2009.02.18 RootKit.Win32.RESSDT.ee
SecureWeb-Gateway 6.7.6 2009.02.18 Trojan.Spy.Gen
Sophos 4.38.0 2009.02.18 Mal/Dropper-AB
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.18 -
TheHacker 6.3.2.2.259 2009.02.18 -
TrendMicro 8.700.0.1004 2009.02.18 -
VBA32 3.12.8.13 2009.02.18 -
ViRobot 2009.2.18.1613 2009.02.18 -
VirusBuster 4.5.11.0 2009.02.17 -
Additional information
File size: 34304 bytes
MD5...: 9aec2e0a633245395041fe478af853cb
SHA1..: 25731db8a77fc3b1b06a4967e640edff18496006


최종적으로 설치되는 ibm.exe 파일은 감염된 컴퓨터에서 온라인 게임 관련 정보를 수집하는 것으로 보입니다.

1. 파일 생성

%FontsDir%\hf0215.dll
%System%\Advapi32.test

2. explorer.exe / dllhost.exe / IEXPLORE.EXE 프로세스 모듈에 hf0215.dll 파일 삽입

3. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - hf0215.dll = %FontsDir%\hf0215.exe

해당 악성코드의 경우 이미 2006년 발표된 보안 패치의 취약점을 이용하고 있으므로 피해는 크지 않겠지만, 불법 윈도우판 사용자의 경우 보안 패치를 기피하는 현상을 통해 감염이 예상됩니다.

불법 윈도우 사용자도 긴급 업데이트는 설치가 되므로 반드시 보안 업데이트는 하시고 사용하시기 바랍니다.