본문 바로가기

imm323

시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 1. 서론 최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다. 2. 악성코그 감염 경로 해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다. 1) Adobe Flash Player, CVE-2011-0611 위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림 1] SWF 파일 분석 화면 해당 쉘코드를 분석하면 아래와 같이 jpg을.. 2011.06.19
배너 광고 관련 사이트 해킹을 통한 악성코드 유포 사례 1. 서론 온라인 게임 핵 악성코드를 유포하는 악성 스크립트가 다수의 국내 사이트에 삽입되어 있음이 확인되었습니다. 침해사고가 발생한 해당 사이트들에는 동일한 악성 스크립트 URL이 삽입되어 있었는데, 어떻게 동일한 악성 스크립트가 삽입되었는지와 삽입된 악성 스크립트는 어떤 취약점을 이용하여 악성코드를 유포시키며 유포된 악성코드는 어떤 목적을 가지고 있는지 살펴보고자 합니다. 2. 다수의 사이트에 악성코드 유포 스크립트가 삽입된 원인 평일보다 주말에 윈도우 정상 파일을 변조하는 온라인 게임핵 관련 악성코드 관련 문의가 고객들에게 다수 접수된다는 점이 특이하여 해당 사례에 대해 자체적으로 확인한 결과 국내의 다수 사이트 및 블로그에서 동시에 같은 악성 스크립트를 통해 해당 악성코드를 유포하고 있어 조사를 .. 2010.08.28
악성코드로 인한 imm32.dll 파일 변조 조치 가이드 1. 서론 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다. 2. 악성코드 감염 시 나타는 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다. (발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.) 따라서 아래 파일들.. 2010.05.12