본문 바로가기

벌새::Analysis

악성코드 유포 - 2009.04.30

728x90
반응형
국내 전산 시스템 공급업체 웹 사이트가 변조가 되어 악성코드를 유포하고 있는 것을 확인하였습니다.


해당 사이트에 접속시 마이크로소프트(Microsoft)사에서 배포하는 Microsoft Data Access - Remote Data Service Data Control 설치 ActiveX를 출력하여 접속한 사용자의 컴퓨터가 [MS08-041 : Microsoft Access Snapshot Viewer에서 사용하는 ActiveX 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (955617)] 보안 취약점 패치를 하지 않은 경우 감염을 유발할 수 있습니다.


웹 사이트 메인 페이지에서 다운로드 되는 악성코드는 HTML/Crypted (AhnLab V3) 진단명으로 진단이 되며, 해당 악성코드는 최종적으로 온라인 게임 관련 트로이목마를 설치하고 있습니다.

MD5 : 2864c8e46d4942183c6a170c1bddc99e


1. 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - hf0214.dll = "C:\WINDOWS\system32\hf0214.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Beep\Enum\INITSTARTFAILED

2. 파일 생성

C:\TEST\xxx.bat
C:\WINDOWS\system32\Advapi32.test
C:\WINDOWS\system32\hf0214.dll
C:\WINDOWS\system32\hf0214.exe

3. explorer.exe 프로세스 등에 hf0214.dll 삽입

최근 국내 웹 사이트를 중심으로 전형적으로 악성코드를 배포하고 있는 현재의 패턴은 근본적으로 사용자의 컴퓨터에서 사용하고 있는 OS 및 각종 응용 프로그램의 보안 업데이트를 최신으로 유지하는 것이 중요합니다.
728x90
반응형