지난 주말을 기점으로 최근에 보고된 Adobe Flash Player의 취약점(CVE-2011-0611)이용한 악성코드 유포 사례가 증가하고 있습니다. 해당 취약점을 통해서 유포되는 악성코드들 중에는 정상 imm32.dll을 교체하는 것들도 있는데 최근에 발견된 변종에서는 백신에서 또는 사용자가 수동 조치할 수 없도록 윈도우 OS에서 사용하는 특정 계정그룹에 대한 권한을 변경하는 것으로 확인되었습니다.
안철수연구소의 대응상태
현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있습니다.
V3:2011.04.18.02
Dropper/Onlinegamehack.83456 / Win-Trojan/Patched.66048
√ 전용백신의 폴더권한 변경은 XP에서만 동작
√ Vista, Windows 7에서는 감염 테스트 시 악성코드가 정상 동작 않음(블루스크린 발생)
√ Windows 서버계열에서는 구성환경 및 권한정책 때문에 폴더권한 변경은 제외함
Dropper/Onlinegamehack.83456이 이용하는 취약점은?
Dropper/Onlinegamehack.83456가 이용하는 취약점은 위에서도 언급되어 있지만 Adobe Flash Player의 취약점(CVE-2011-0611)입니다. 해당 취약점에 대한 추가 분석정보는 아래 주소에서 보실 수 있습니다.
▶ 참고정보: 악성 플래시 파일, 당신의 PC를 노린다.
Dropper/Onlinegamehack.83456은 어떻게 동작할까?
Dropper/Onlinegamehack.83456의 동작방식은 아래와 같습니다.
[그림 1] Dropper/Onlinegamehack.83456의 동작구조
[그림 1]에서 권한변경 부분에 대해서 기술적으로 살펴보면 아래와 같습니다.
[그림 2] 관리자(administrator)와 관리자 그룹(administrators)의 권한변경
[그림 2]에서 보는 것처럼 Winexec()를 호출하여 권한을 R(읽기)권한으로 변경하면 SYSTEM32폴더에 대한 권한이 아래처럼 변경됩니다.
[그림 3] Dropper/Onlinegamehack.83456에 의한 권한변경 전 후
[그림 3]에서 보는 것과 같이 권한이 F(모든 권한) -> R(읽기 권한)으로 변경될 경우 SYSTEM32폴더에 파일을 생성하거나 삭제하는 것은 불가능하게 됩니다. 그 외 기능은 기존의 변종들과 동일하므로 아래 주소를 참고바랍니다.
▶ 참고정보: imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0
'악성코드 정보' 카테고리의 다른 글
| [악성스팸경고] my naked pic is attached (0) | 2011.04.27 |
|---|---|
| 악성메일, 당신의 중요한 정보를 노린다. (0) | 2011.04.27 |
| 악성 플래시 파일, 당신의 PC를 노린다. (2) | 2011.04.18 |
| 악성코드 제작자는 사용자가 익숙한 것을 노린다 (1) | 2011.04.17 |
| 윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H (0) | 2011.04.16 |
댓글