1. 서론
⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자.
2. 악성코드 유포 사이트
⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까?
본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다.
- 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다.
- 이중 마지막 단계인 main.swf 파일을 살펴보자.
최근, Adobe Flash Player (CVE-2011-2110) 취약점을 이용한 악성코드 감염이 일반적이다.
- 다운로드 받는 파일을 확인해 보자.
main.swf 파일에 파라미터 "info="를 통해 URL을 얻는다.
- 다운로드 된 파일 디코딩 후 실행 가능하다.
3. 증상
⊙ 악성코드가 다운로드 되어 실행되면 다음과 같은 파일이 생성 및 변경된다.
- 해당 악성코드는 온라인 게임의 계정을 탈취할 목적으로 제작 되었다.
악성코드에 감염된 사용자가 특정 온라인 게임의 로그인을 시도할때, 계정 정보 유출을 시도한다.
- 온라인 게임의 계정을 유출하는 악성코드가 상당히 많으니, 사용자들의 각별한 주의를 요한다.
[그림] 안철수연구소에서 산출한 악성코드 TOP 10
Ref)
- 윈도우 시스템 파일을 변조하는 악성코드 정보
4. 조치 방법
⊙ 안철수연구소에서는 이와 같은 윈도우 정상 파일을 패치하는 악성코드를 빠르게 진단/치료 할 수 있는 전용백신을 제공하고 있다. (Gen 진단법이 추가되어, 앞으로 나올 수 있는 유사한 패턴의 악성코드도 치료가 가능하다.)
(단, 전용백신은 모든 악성코드 패턴이 포함되지 않으므로,
전용백신으로 검사 -> 재부팅 -> V3제품(최신엔진)으로 정밀검사를 권한다.)
5. 예방 방법
- 악성코드 감염을 예방하기 위해서는 위 취약점들에 대한 보안 업데이트를 해야 한다. 업데이트 방법은 아래와 같다.
- 안철수연구소에서 제공하는 SiteGuard 를 설치하면, 악성코드를 유포하는 사이트를 방문할 경우, 사용자에게 허락 여부를 확인 받는다. ([허가]할 경우 악성코드에 감염될 수 있다.)
⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자.
2. 악성코드 유포 사이트
⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까?
본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다.
- 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다.
[그림] 악성 스크립트 유포 사이트
- 해당 사이트에 접속하면, 아래와 같은 사이트로 연결되어 악의적인 스크립트가 실행된다.
[그림] 악성코드를 감염시키기 위해 다운로드 되는 파일 정보
- 이중 마지막 단계인 main.swf 파일을 살펴보자.
최근, Adobe Flash Player (CVE-2011-2110) 취약점을 이용한 악성코드 감염이 일반적이다.
[그림] Adobe Flash Player 취약점을 이용한 main.swf 내부 코드
- 다운로드 받는 파일을 확인해 보자.
main.swf 파일에 파라미터 "info="를 통해 URL을 얻는다.
| main.swf?info=02e6b15253....[중략].......7084 |
[그림] 다운로드 파일
- 다운로드 된 파일 디코딩 후 실행 가능하다.
[그림] 다운로드 된 원본파일과 디코딩 후 파일 비교
3. 증상
⊙ 악성코드가 다운로드 되어 실행되면 다음과 같은 파일이 생성 및 변경된다.
|
C:\Documents and Settings\[사용자 계정]\Application Data\o.exe (악성코드) |
- 해당 악성코드는 온라인 게임의 계정을 탈취할 목적으로 제작 되었다.
악성코드에 감염된 사용자가 특정 온라인 게임의 로그인을 시도할때, 계정 정보 유출을 시도한다.
- 온라인 게임의 계정을 유출하는 악성코드가 상당히 많으니, 사용자들의 각별한 주의를 요한다.
Ref)
- 윈도우 시스템 파일을 변조하는 악성코드 정보
| ⊙ 시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 : http://core.ahnlab.com/303 ⊙ 윈도우 시스템 파일을 변조하는 악성코드 주의 : http://core.ahnlab.com/294 ⊙ imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. : http://core.ahnlab.com/283 ⊙ 윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H : http://core.ahnlab.com/280 ⊙ imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 : http://core.ahnlab.com/267 ⊙ 악성코드로 인한 imm32.dll 파일 변조 조치 가이드 : http://core.ahnlab.com/173 |
4. 조치 방법
⊙ 안철수연구소에서는 이와 같은 윈도우 정상 파일을 패치하는 악성코드를 빠르게 진단/치료 할 수 있는 전용백신을 제공하고 있다. (Gen 진단법이 추가되어, 앞으로 나올 수 있는 유사한 패턴의 악성코드도 치료가 가능하다.)
(단, 전용백신은 모든 악성코드 패턴이 포함되지 않으므로,
전용백신으로 검사 -> 재부팅 -> V3제품(최신엔진)으로 정밀검사를 권한다.)
5. 예방 방법
- 악성코드 감염을 예방하기 위해서는 위 취약점들에 대한 보안 업데이트를 해야 한다. 업데이트 방법은 아래와 같다.
|
⊙ Adobe Flash Player 업데이트 방법 ⊙ Internet Explorer 업데이트 방법 |
- 안철수연구소에서 제공하는 SiteGuard 를 설치하면, 악성코드를 유포하는 사이트를 방문할 경우, 사용자에게 허락 여부를 확인 받는다. ([허가]할 경우 악성코드에 감염될 수 있다.)
⊙ 안철수연구소에서 제공하는 사이트 가드 설치 페이지 : http://siteguard.co.kr/
'악성코드 정보' 카테고리의 다른 글
| 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) (0) | 2011.06.29 |
|---|---|
| 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) (2) | 2011.06.29 |
| 웹 공격(SQL Injection)을 통한 악성코드 유포 (0) | 2011.06.23 |
| "내 문서", "바탕화면" 등에 있던 파일들이 모두 사라졌다? (3) | 2011.06.22 |
| 시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 (6) | 2011.06.19 |
댓글