이번에 발견된 사례도 기존과 크게 다르지 않다.
1. 악성코드 유포는 어떻게?
이번에 발견된 사례는 아래 그림과 같은 형식으로 유포가 되었다.
2. 악성코드 감염은 어떻게?
[그림 1]처럼 악성 스크립트가 삽입된 배너광고에 노출된 PC가 만약 보안 취약점이 존재했다면 악성코드에 감염되었을 확률이 높다.
배너광고에 노출된 PC에 악성코드를 다운로드 및 실행하기 위해서 사용된 취약점은 아래와 같다.
※ CSS 메모리 손상 취약점(MS11-003, CVE-2010-3971)
※ Adobe Flash Player 취약점: CVE-2011-2140
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140
http://www.adobe.com/support/security/bulletins/apsb11-21.html
위 취약점들을 사용한 악성 스크립트에 포함된 쉘코드는 아래 그림처럼 암호화된 URL가지고 있으며 복호화한 후 다운로드 및 실행하도록 되어 있다.
[그림 3] Shellcode의 복호화 루틴
• edi= 다운로드할 악성코드 URL, http://***.78.***.175/Ags/AGS.gif
• ebx= 악성코드를 저장할 경로, %USERPROFILE%\Application Data\Y.exe
Y.exe가 실행되면 아래 그림과 같이 파일을 생성 및 백업한다.
[그림 5] Y.exe의 실행과정
[그림 5]에서처럼 악성 ws2help.dll은 HttpSendRequestA()를 메모리상에서 Inline Patch하여 특정 온라인 게임 사용자의 계정정보를 탈취하는 게임핵 악성코드이다.
[그림 6] 악성 ws2help.dll에 의해서 HttpSendRequestA()함수 패치 전과 후
[그림 6]을 보면 악성 ws2help.dll에 의해서 HttpSendRequestA()함수가 패치될 경우 0x100030f0란 주소로 분기하도록 되어 있음을 알 수 있다.
위와 같이 하는 이유는 사용자가 입력한 ID/PW를 사이트로 전송하기 전에 악성 ws2help.dll에 의해서 입력된 계정정보를 탈취하기 위한 목적이고 사용자의 계정정보는 아래 그림에서 보는 것처럼 특정 사이트로 전송된다.
[그림 7] 특정 사이트로 전송되는 ID/PW
3. 안철수연구소의 대응상태
JS/Shellcode
JS/Downloader
Dropper/Win32.OnlineGameHack
만약 악성코드에 감염되어 백신이 실행되지 않을 경우 아래 전용백신을 다운로드하여 검사 및 치료한다.
4. 맺음말
주말이면 어김없이 취약한 웹 사이트를 통해서 악성코드 유포가 되풀이 되고 있고 아직도 상당수의 사용자들이 보안 업데이트를 하지 않아 악성코드 감염피해를 입고 있지만 백신(전용백신)으로 치료하면 그만이라는 생각을 가지고 있는 것 같다.
옛 속담에 "소잃고 외양간 고친다."란 말이 있다. 이 속담의 의미처럼 가장 기본이면서도 중요한 보안 업데이트를 꾸준히 함으로써 큰 피해를 미연에 방지했으면 한다.
'악성코드 정보' 카테고리의 다른 글
| 2012년 버전으로 위장한 허위 클라우드 백신 (0) | 2011.12.02 |
|---|---|
| 유럽을 타겟으로 제작된 안드로이드 악성 어플리케이션 (0) | 2011.11.29 |
| 알면 No! 모르면 Yes!? (1) | 2011.11.18 |
| BIND의 불안전한 레코드 구성에 의한 제로데이 서비스거부 공격 (0) | 2011.11.17 |
| 안드로이드 악성코드 FakeInst 변종 1600↗ (0) | 2011.11.17 |
댓글