본문 바로가기
악성코드 정보

MySQL 사이트에 삽입된 악성 스크립트

by 알 수 없는 사용자 2011. 9. 27.
1. 서론
금일 새벽에 MySQL 사이트에 악성 스크립트가 삽입되었다는 내용이 확인되어 관련 내용을 작성 합니다.


2. 삽입된 악성 스크립트 상세 분석
http://www.mysql.com 사이트 접속 시 연결되는 파일 중 한군데에 아래와 같은 내용의 악성 스크립트가 삽입되었습니다.

 
                                                          
[그림 1] 삽입된 악성 스크립트
 

삽입된 스크립트는 난독화 되어 있으며 난독화를 해제하면 아래와 같은 코드가 확인이 됩니다.
 

[그림 2] 난독화 스크립트를 풀었을 때 나오는 코드


위 페이지에 접속하게 되면 Adobe Flash, Adobe Reader, Java 등 취약점을 이용하여 악성코드에 감염되게 됩니다.


3. 악성코드 감염 시 나타나는 증상
해당 악성코드에 감염되면 아래와 같은 파일이 생성되게 됩니다.

C:\WINDOWS\system32\t5rc.dll
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\version.dll
C:\Documents and Settings\사용자명\Local Settings\Temp\xth1A.tmp.exe

단, V3 제품을 사용할 경우 제품의 자기보호 기능 중 윈도우 중요 시스템 파일 보호 기능으로 인해 위 목록에서 윈도우 중요 시스템 파일은 변조되지 않습니다. 따라서 V3 제품 사용자는 해당 사이트에 접속하셨더라도 감염이 되지 않았을 것으로 보입니다.

[그림 3] V3제품 자기보호 기능으로 인해 윈도우 중요 파일 변조를 방어한 화면



4. 대응 현황
V3 제품군에서는 관련 악성파일들을 2011/09/21 13:47:05 에 탐지하여 대응완료 하였습니다. 현재 아래와 같은 진단명으로 진단하고 있으니 참고하시기 바랍니다.

Dropper/Win32.Mudrop
Trojan/Win32.Patched
Trojan/Win32.Agent

댓글