반응형
[악성코드 유포 경로]
hxxp://203.239.143.136/.img/cs.js <AhnLab V3 : JS/Iframe>
- hxxp://203.239.143.136/.img/cs.htm <AhnLab V3 : HTML/Downloader>
-> hxxp://s.jmestar.com/p/i/ibm.exe <AhnLab V3 : Dropper/OnlineGameHack.34304.B>
* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.
* 해당 악성코드는 분석 시점을 기준으로 합니다.
hxxp://203.239.143.136/.img/cs.js <AhnLab V3 : JS/Iframe>
- hxxp://203.239.143.136/.img/cs.htm <AhnLab V3 : HTML/Downloader>
-> hxxp://s.jmestar.com/p/i/ibm.exe <AhnLab V3 : Dropper/OnlineGameHack.34304.B>
* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.
* 해당 악성코드는 분석 시점을 기준으로 합니다.
국내 M 영화 사이트에서 악성코드를 유포하고 있는 것을 확인하였습니다.
해당 악성코드는 윈도우(Windows) 보안 취약점 MS06-014를 이용한 것으로 보안 패치가 적용되지 않은 컴퓨터의 경우 접속시 감염이 예상됩니다.
코드 내부에는 위와 같이 국내 포털 사이트 다음(Daum) 사이트를 타이틀로 표시하고 있는 점을 통해 국내를 표적으로 하고 있음을 확인할 수 있습니다.
[ibm.exe]
| Antivirus | Version | Last Update | Result |
| a-squared | 4.0.0.93 | 2009.02.18 | - |
| AhnLab-V3 | 2009.2.17.2 | 2009.02.18 | Dropper/OnlineGameHack.34304.B |
| AntiVir | 7.9.0.83 | 2009.02.18 | TR/Spy.Gen |
| Authentium | 5.1.0.4 | 2009.02.18 | W32/SYStroj.N.gen!Eldorado |
| Avast | 4.8.1335.0 | 2009.02.17 | Win32:Spyware-gen |
| AVG | 8.0.0.237 | 2009.02.18 | Rootkit-Agent.CG |
| BitDefender | 7.2 | 2009.02.18 | Rootkit.Agent.XN |
| CAT-QuickHeal | 10.00 | 2009.02.18 | - |
| ClamAV | 0.94.1 | 2009.02.18 | - |
| Comodo | 983 | 2009.02.18 | - |
| DrWeb | 4.44.0.09170 | 2009.02.18 | MULDROP.Trojan |
| eSafe | 7.0.17.0 | 2009.02.17 | Win32.TRSpy |
| eTrust-Vet | 31.6.6363 | 2009.02.18 | Win32/Farfli!generic |
| F-Prot | 4.4.4.56 | 2009.02.17 | W32/SYStroj.N.gen!Eldorado |
| F-Secure | 8.0.14470.0 | 2009.02.18 | Trojan.Win32.Agent2.dro |
| Fortinet | 3.117.0.0 | 2009.02.18 | W32/Agent2.DRO!tr |
| GData | 19 | 2009.02.18 | Win32:Spyware-gen |
| Ikarus | T3.1.1.45.0 | 2009.02.18 | - |
| K7AntiVirus | 7.10.630 | 2009.02.18 | - |
| Kaspersky | 7.0.0.125 | 2009.02.18 | Trojan.Win32.Agent2.dro |
| McAfee | 5529 | 2009.02.17 | - |
| McAfee+Artemis | 5529 | 2009.02.17 | Generic!Artemis |
| Microsoft | 1.4306 | 2009.02.18 | PWS:Win32/Frethog.BS |
| NOD32 | 3864 | 2009.02.18 | - |
| Norman | 6.00.06 | 2009.02.17 | W32/Malware |
| nProtect | 2009.1.8.0 | 2009.02.18 | Trojan/W32.Agent2.34304 |
| Panda | 9.4.3.20 | 2009.02.18 | - |
| PCTools | 4.4.2.0 | 2009.02.18 | - |
| Prevx1 | V2 | 2009.02.18 | - |
| Rising | 21.17.22.00 | 2009.02.18 | RootKit.Win32.RESSDT.ee |
| SecureWeb-Gateway | 6.7.6 | 2009.02.18 | Trojan.Spy.Gen |
| Sophos | 4.38.0 | 2009.02.18 | Mal/Dropper-AB |
| Sunbelt | 3.2.1855.2 | 2009.02.17 | - |
| Symantec | 10 | 2009.02.18 | - |
| TheHacker | 6.3.2.2.259 | 2009.02.18 | - |
| TrendMicro | 8.700.0.1004 | 2009.02.18 | - |
| VBA32 | 3.12.8.13 | 2009.02.18 | - |
| ViRobot | 2009.2.18.1613 | 2009.02.18 | - |
| VirusBuster | 4.5.11.0 | 2009.02.17 | - |
| Additional information | |||
| File size: 34304 bytes | |||
| MD5...: 9aec2e0a633245395041fe478af853cb | |||
| SHA1..: 25731db8a77fc3b1b06a4967e640edff18496006 | |||
최종적으로 설치되는 ibm.exe 파일은 감염된 컴퓨터에서 온라인 게임 관련 정보를 수집하는 것으로 보입니다.
1. 파일 생성
%FontsDir%\hf0215.dll
%System%\Advapi32.test
2. explorer.exe / dllhost.exe / IEXPLORE.EXE 프로세스 모듈에 hf0215.dll 파일 삽입
3. 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- hf0215.dll = %FontsDir%\hf0215.exe
%FontsDir%\hf0215.dll
%System%\Advapi32.test
2. explorer.exe / dllhost.exe / IEXPLORE.EXE 프로세스 모듈에 hf0215.dll 파일 삽입
3. 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- hf0215.dll = %FontsDir%\hf0215.exe
해당 악성코드의 경우 이미 2006년 발표된 보안 패치의 취약점을 이용하고 있으므로 피해는 크지 않겠지만, 불법 윈도우판 사용자의 경우 보안 패치를 기피하는 현상을 통해 감염이 예상됩니다.
불법 윈도우 사용자도 긴급 업데이트는 설치가 되므로 반드시 보안 업데이트는 하시고 사용하시기 바랍니다.
728x90
반응형