1. 서론
금일 새벽에 MySQL 사이트에 악성 스크립트가 삽입되었다는 내용이 확인되어 관련 내용을 작성 합니다.
2. 삽입된 악성 스크립트 상세 분석
http://www.mysql.com 사이트 접속 시 연결되는 파일 중 한군데에 아래와 같은 내용의 악성 스크립트가 삽입되었습니다.
[그림 1] 삽입된 악성 스크립트
삽입된 스크립트는 난독화 되어 있으며 난독화를 해제하면 아래와 같은 코드가 확인이 됩니다.
[그림 2] 난독화 스크립트를 풀었을 때 나오는 코드
위 페이지에 접속하게 되면 Adobe Flash, Adobe Reader, Java 등 취약점을 이용하여 악성코드에 감염되게 됩니다.
3. 악성코드 감염 시 나타나는 증상
해당 악성코드에 감염되면 아래와 같은 파일이 생성되게 됩니다.
단, V3 제품을 사용할 경우 제품의 자기보호 기능 중 윈도우 중요 시스템 파일 보호 기능으로 인해 위 목록에서 윈도우 중요 시스템 파일은 변조되지 않습니다. 따라서 V3 제품 사용자는 해당 사이트에 접속하셨더라도 감염이 되지 않았을 것으로 보입니다.
[그림 3] V3제품 자기보호 기능으로 인해 윈도우 중요 파일 변조를 방어한 화면
4. 대응 현황
V3 제품군에서는 관련 악성파일들을 2011/09/21 13:47:05 에 탐지하여 대응완료 하였습니다. 현재 아래와 같은 진단명으로 진단하고 있으니 참고하시기 바랍니다.
금일 새벽에 MySQL 사이트에 악성 스크립트가 삽입되었다는 내용이 확인되어 관련 내용을 작성 합니다.
2. 삽입된 악성 스크립트 상세 분석
http://www.mysql.com 사이트 접속 시 연결되는 파일 중 한군데에 아래와 같은 내용의 악성 스크립트가 삽입되었습니다.
삽입된 스크립트는 난독화 되어 있으며 난독화를 해제하면 아래와 같은 코드가 확인이 됩니다.
위 페이지에 접속하게 되면 Adobe Flash, Adobe Reader, Java 등 취약점을 이용하여 악성코드에 감염되게 됩니다.
3. 악성코드 감염 시 나타나는 증상
해당 악성코드에 감염되면 아래와 같은 파일이 생성되게 됩니다.
C:\WINDOWS\system32\t5rc.dll
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\version.dll
C:\Documents and Settings\사용자명\Local Settings\Temp\xth1A.tmp.exe
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\version.dll
C:\Documents and Settings\사용자명\Local Settings\Temp\xth1A.tmp.exe
단, V3 제품을 사용할 경우 제품의 자기보호 기능 중 윈도우 중요 시스템 파일 보호 기능으로 인해 위 목록에서 윈도우 중요 시스템 파일은 변조되지 않습니다. 따라서 V3 제품 사용자는 해당 사이트에 접속하셨더라도 감염이 되지 않았을 것으로 보입니다.
4. 대응 현황
V3 제품군에서는 관련 악성파일들을 2011/09/21 13:47:05 에 탐지하여 대응완료 하였습니다. 현재 아래와 같은 진단명으로 진단하고 있으니 참고하시기 바랍니다.
Dropper/Win32.Mudrop
Trojan/Win32.Patched
Trojan/Win32.Agent
Trojan/Win32.Patched
Trojan/Win32.Agent
'악성코드 정보' 카테고리의 다른 글
| MBR을 변조하는 Halcbot 부트킷 상세 분석 (0) | 2011.10.14 |
|---|---|
| QR 코드를 통해 감염되는 안드로이드 악성코드 발견 (2) | 2011.10.07 |
| 온라인 게임 사용자의 계정정보를 탈취하는 Bootkit (0) | 2011.09.27 |
| 정보 수집 및 즐겨찾기를 변경하는 Android 악성 앱 站点之家 (1) | 2011.09.20 |
| MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (3) | 2011.09.16 |
댓글