1. 서론
최근 확인된 인터넷 익스플로러 취약점을 이용한 악성코드 유포가 확인되어 주의가 필요하여 해당 글을 작성합니다.
2. 유포 경로 및 취약점
최근 국내 유명 포탈의 일부 메뉴에 악성 스크립트가 삽입됨을 확인하였습니다. 해당 악성 스크립트를 분석한 결과 기존에 발견된 익스플로러 취약점 (MS10-018)과 가장 최근에 발견된 익스플로러 취약점으로 아직까지 공식패치가 나오지 않는 취약점 (CVE-2010-3962)을 이용하고 있었습니다.
[그림 1] 최근에 발견된 익스플로러 취약점을 이용한 악성 스크립트 일부 내용
해당 제로데이 취약점에 대한 자세한 내용은 http://blog.ahnlab.com/asec/432 페이지를 참고하시기 바랍니다.
3. 악성코드 감염 시 나타나는 증상
취약점을 통해 악성코드가 실행되면, 자신과 동일한 파일을 랜덤한 이름으로 아래와 같이 생성하며, explorer.exe 프로세스에 핸들되어 동작합니다.
아래와 같이 레지스트리값을 등록하며, 생성된 파일을 지속적으로 등록하여 시스템 부팅시 악성코드가 자동으로 실행될 수 있도록 설정합니다.
4. 피해통계
최종적으로 다운로드되는 실행파일에 대해, ASD(Ahnlab Smart Defense) 에서 수집된 통계자료는 아래와 같습니다. (중복 진단건수 포함)
해당 악성코드는 7일까지 활발히 전파되었다가 서서히 소강상태에 접어들어 금일 12일 부터는 피해가 거의 발생하지 않는 상태입니다.
5. 진단 현황
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 엔진을 최신버전으로 유지하시기 바랍니다.
최근 확인된 인터넷 익스플로러 취약점을 이용한 악성코드 유포가 확인되어 주의가 필요하여 해당 글을 작성합니다.
2. 유포 경로 및 취약점
최근 국내 유명 포탈의 일부 메뉴에 악성 스크립트가 삽입됨을 확인하였습니다. 해당 악성 스크립트를 분석한 결과 기존에 발견된 익스플로러 취약점 (MS10-018)과 가장 최근에 발견된 익스플로러 취약점으로 아직까지 공식패치가 나오지 않는 취약점 (CVE-2010-3962)을 이용하고 있었습니다.
[악성코드 유포 URL]
http://125.***.6.18/Multi/f/w3.js
L http://125.***.6.18/Multi/f/w3.asp (CVE-2010-0806, MS10-018)
L http://www.*****114.com/cafe/help/box.exe
L http://125.***.6.18/Multi/f/ns.htm
L http://125.***.6.18/Multi/f/test.htm (CVE-2010-3962)
L http://www.*****114.com/cafe/skin/page/mam.exe
http://125.***.6.18/Multi/f/w3.js
L http://125.***.6.18/Multi/f/w3.asp (CVE-2010-0806, MS10-018)
L http://www.*****114.com/cafe/help/box.exe
L http://125.***.6.18/Multi/f/ns.htm
L http://125.***.6.18/Multi/f/test.htm (CVE-2010-3962)
L http://www.*****114.com/cafe/skin/page/mam.exe
[표 1] 삽입된 악성코드 유포 URL
해당 제로데이 취약점에 대한 자세한 내용은 http://blog.ahnlab.com/asec/432 페이지를 참고하시기 바랍니다.
3. 악성코드 감염 시 나타나는 증상
취약점을 통해 악성코드가 실행되면, 자신과 동일한 파일을 랜덤한 이름으로 아래와 같이 생성하며, explorer.exe 프로세스에 핸들되어 동작합니다.
C:\WINDOWS\system32\bbuzu.exe(랜덤명)
[표 2] 생성되는 파일
그리고 인터넷 임시폴더(Temporary Internet File)에 생성된 임시 파일(최초 다운로드된 파일)을 삭제합니다.
C:\Documents and Settings\[사용자계정]\Local Settings\Temporary Internet Files\...\box[1].exe
[표 3] 임시폴더 생성파일
아래와 같이 레지스트리값을 등록하며, 생성된 파일을 지속적으로 등록하여 시스템 부팅시 악성코드가 자동으로 실행될 수 있도록 설정합니다.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"TabProcGrowth"="0x0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe, bbuzu.exe"
"TabProcGrowth"="0x0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe, bbuzu.exe"
[표 4] 레지스트리값 생성
최초 홍콩 지역으로 추정되는 IP로 접속을 시도합니다. 이후 특정 URL로 연결시도하나 현재 해당 서버에는 접속되지 않습니다.
180.***.33.180:80
uieei2.7****2.com/uieei2/uieei2.jpg
uieei2.7****2.com/uieei2/uieei2.gif
[표 5] 네트워크 연결
아래와 같이 던전앤파이터, 리니지, 메이플스토리 등 다수의 게임 및 MSN메신저, 야후메신저 관련 스트링이 확인됩니다.
...
Hacker!Hacker!!Hacker!!!
...
res\pcotp.okf
usergsoptiondata.opt
lin.bin
maplestory.exe
arad.exe
ragexe.exe
ragurdrexe.exe
wow.exe
gersang.exe
twelvesky2.exe
Red Stone.exe
InphaseNXD.exe
dnf.exe
pol.exe
l2.bin
ff2client.exe
msnmsgr.exe
_beanfuncore.exe
yahoomessenger.exe
aion.bin
online.dat
elementclient.exe
aclient.exe
ragfree.exe
pcotp.exe
[표 6] 파일 내부 문자열
4. 피해통계
최종적으로 다운로드되는 실행파일에 대해, ASD(Ahnlab Smart Defense) 에서 수집된 통계자료는 아래와 같습니다. (중복 진단건수 포함)
해당 악성코드는 7일까지 활발히 전파되었다가 서서히 소강상태에 접어들어 금일 12일 부터는 피해가 거의 발생하지 않는 상태입니다.
5. 진단 현황
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 엔진을 최신버전으로 유지하시기 바랍니다.
Win-Trojan/Onlinegamehack.54784.AS
HTML/Agent
HTML/Agent
'악성코드 정보' 카테고리의 다른 글
| 위키리크스 (WikiLeaks) 관련 악성코드 !! (1) | 2010.12.08 |
|---|---|
| 사회적 이슈를 이용한 SEO 악성코드 유포 주의 (0) | 2010.11.23 |
| 노벨 평화상 초청 메일로 위장한 악성코드 발견 (0) | 2010.11.11 |
| "16th 아시안 게임" 관련 문서로 위장한 악성코드 주의! (3) | 2010.11.11 |
| 'G20 Issues paper' 제목의 악성코드 링크된 스팸메일 주의 (1) | 2010.11.10 |
댓글