요즘 악성코드에 의해서 윈도우 정상파일(explorer.exe, winlogon.exe 등)이 패치 되거나 특정 조건에 만족하면 imm32.dll의 경우처럼 아예 악성코드로 교체하는 사례가 자주 발견되고 있는데 지난 주말 해킹된 국내 웹 사이트를 통해서 윈도우 정상파일(midimap.dll)을 악성 DLL으로 교체하는 Win-Trojan/Agent.30904.H가 유포 중인 것을 발견하였습니다.
[그림 1] 유포방식 및 감염조건
Win-Trojan/Agent.30904.H는 위 [그림 1]에서 보는 것처럼 Internet Explorer 취약점 2개, Adobe Flash Player 취약점 1개 등을 사용하여 취약한 PC를 감염시킵니다.
http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx
√ MS10-090: 초기화되지 않은 메모리 손상 취약점(CVE-2010-3962)
http://www.microsoft.com/korea/technet/security/bulletin/ms10-090.mspx
√ Adobe Flash Player Avm Bytecode Verification Vulnerability(CVE-2011-0609)
http://www.adobe.com/support/security/advisories/apsa11-01.html
d.exe가 실행되면 윈도우 정상 파일인 midimap.dll을 백업한 후 악성 DLL교체로 교체하는데 자세한 동작 방식은 아래 [그림 2]와 같습니다.
[그림 2] Win-Trojan/Agent.30904.H의 동작방식 (1)
[그림 3] Win-Trojan/Agent.30904.H의 동작방식 (2)
감염된 후에는 위 [그림 3]과 같이 동작하기 때문에 프로그램 실행 시 에러가 발생하지 않으며 이 부분에 대해서 좀더 기술적으로 살펴보면 아래 [그림 4]와 같습니다.
[그림 4] 악성 DLL과 백업된 정상 DLL의 로딩구조
[그림 3, 4]를 보면 winlogon.exe가 midimap.dll의 특정 함수를 호출할 때 악성 midimap.dll에는 호출된 함수의 기능이 없기 때문에 백업된 정상 midimap32.dll을 로딩하여 해당함수를 호출하는 것입니다.
악성 midimap.dll은 다른 여느 악성코드들과 마찬가지로 특정 온라인 게임 사용자의 계정정보를 탈취하기 위한 목적을 가진 악성코드입니다.
[그림 5] 탈취한 계정 정보를 특정 URL사이트로 전송
안철수연구소의 대응상태는 아래와 같습니다.
Win-Trojan/Agent.30904.H
Win-Trojan/Agent.21864
'악성코드 정보' 카테고리의 다른 글
| 악성 플래시 파일, 당신의 PC를 노린다. (2) | 2011.04.18 |
|---|---|
| 악성코드 제작자는 사용자가 익숙한 것을 노린다 (1) | 2011.04.17 |
| 웹사이트를 통해 유포되는 악성코드의 배포 방법 변경 (1) | 2011.04.15 |
| 메신저를 통해 새로운 방식으로 전파되는 악성코드 (0) | 2011.04.14 |
| 스타맵핵, 정말 맵핵기능만 있을까요? 아닐걸요?! (2) | 2011.04.14 |
댓글