본문 바로가기
악성코드 정보

CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드

by 알 수 없는 사용자 2012. 3. 11.
최근 Adobe Flash Player 취약점을 이용한 타켓 공격 관련 문서 파일이 확인된 바 있다.
관련 내용 : http://asec.ahnlab.com/785

그리고 이번주 주말에 위에서 언급한 타켓 공격과 관련된 취약점을 국내 웹사이트를 통해 전파되는 온라인 게임핵도 이용하여 악성코드를 감염시키는 것으로 확인되었다.

해당 취약점은 웹페이지에 삽입된 악성 SWF 파일에서 아래와 같은 액션 스크립트로 MP4 파일을 로드하고 있으며 아래 코드에서 MP4 파일은 ee.jpg 이다.

[그림 1] SWF 파일 내부의 액션 스크립트, MP4 파일을 로드하는 부분


이 취약점은 얼핏 보기에는 이전부터 꾸준히 이용되고 있던 역시 MP4 파일 관련 취약점인  CVE-2011-2140 취약점과 떨어지는 형태나 패턴이 유사하나 두개의 파일을 비교해보면 확연히 다름을 알 수 있다.

현재 악성코드는 두가지 취약점 모두 이용하여 감염시키고 있으며 이전부터 이용되던 CVE-2011-2140 취약점은 ea.jpg 파일명으로, 이번에 발견된 CVE-2012-0754는 ee.jpg 라는 파일명으로 MP4 파일을 생성하여 사용하는 것으로 파악되었다.

[그림 2] CVE-2012-0754 취약점 관련 MP4 파일

 
[그림 3] CVE-2011-2140 취약점 관련 MP4 파일


악성코드에 의하여 생성 및 변조되는 파일은 아래와 같다.

C:\WINDOWS\system32\WindowsEx.dll
C:\WINDOWS\system32\ws2help.dll (원본은 ws2helpxp.dll 로 백업한다.)





악성코드는 Avkill 기능과 Online Game 의 계정을 탈취하는 기능이 포함되어 있다.

[그림4] 악성코드가 탈취하려는 온라인 게임 리스트




감염된 시스템은 아래의 전용백신으로 조치할 수 있다.


 
http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105




현재 국내의 많은 사이트에서 해당 취약점을 이용한 온라인 게임핵 유포가 발생되고 있으므로 http://get.adobe.com/kr/flashplayer/ 사이트에 접속하여 최신 버전의 Adobe Flash Player 를 다운로드 받아 설치 및 업데이트 하는 것을 권장 한다.
 


V3 제품군에서는 이와 관련된 악성코드를 아래와 같이 진단한다.

Trojan/Win32.OnlineGameHack
JS/Agent
SWF/Exploit

댓글