10월 17일 ASEC에서는 윈도우 도움말(HLP) 파일을 이용해 내부 정보들을 탈취하기 위한 목적으로 제작된 악성코드가 국내에 유포 된 것을 발견하였다.
이번에 윈도우 도움말 파일을 이용하여 유포된 악성코드는 아래 이미지와 동일하게 이메일의 첨부 파일 형태로 유포되었다.
유포된 이메일은 "쟁점 Q&A 통일외교"와 "전략보고서"라는 제목을 가지고 있는 2가지 형태이며 공통적으로 메일 본문에는 아무런 내용이 존재하지 않는다.
그리고 메일을 보낸 송신인은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스를 이용해 동일한 메일 주소를 사용하고 있다.
유포된 이메일에는 총 2가지 형태의 "쟁점Q&A 통일외교.zip (62,247 바이트)"와 "전략보고서.zip (61,742 바이트)" 의 첨부 파일이 존재하며, 압축 파일의 압축을 풀게 되면 "쟁점Q&A 통일외교.hlp (129,883 바이트)"와 "전략보고서.hlp (129,375 바이트)" 이 생성된다.
생성된 해당 HLP 파일들을 실행하게 되면 아래 이미지와 동일한 내용이 보여지게 된다.
그리고 해당 HLP 파일들에 의해 백그라운드로 아래의 경로에 동일한 "winnetsvr.exe (114,688 바이트)" 파일을 생성하고 실행하게 된다.
C:\WINDOWS\Temp\winnetsvr.exe
생성된 winnetsvr.exe 파일은 다음의 윈도우 레지스트리 키를 생성하여 "Windows Kernel Srv" 명칭의 윈도우 서비스로 실행되도록 구성하게 된다.
HKLM\SYSTEM\ControlSet001\Services\Windows Kernel Srv\
ImagePath = "C:\WINDOWS\Temp\winnetsvr.exe"
그리고 감염된 시스템에서 다음의 정보들을 수집하여 외부 네트워크에 존재하는 특정 시스템으로 수집한 정보들을 전송하게 된다.
감염된 시스템의 IP
감염된 시스템의 프록시(Proxy) IP
사용자 계정명
감염된 시스템의 운영체제 정보
HTTP를 이용한 파일 업로드 및 다운로드
CMD.exe를 이용한 콘솔 명령 실행
이 번에 발견된 윈도우 도움말 파일을 이용해 유포된 악성코드는 V3 제품 군에서 다음과 같이 진단한다.
HLP/Exploit
Trojan/Win32.Agent
그리고 향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.
Dropper/MDP.Exploit
Suspicious/MDP.Exploit
'악성코드 정보' 카테고리의 다른 글
국내 PC 사용자를 대상으로 유포된 아두스카 부트킷 (0) | 2012.10.22 |
---|---|
국방 관련 내용을 담은 취약한 한글 파일 발견 (0) | 2012.10.19 |
대만 기상청을 대상으로한 타겟 공격 발견 (0) | 2012.10.18 |
플레임 악성코드 변형 miniFlame 변형 발견 (0) | 2012.10.16 |
미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 (0) | 2012.10.12 |
댓글