본문 바로가기
악성코드 정보

Malicious Software, Friday Night Fever~!!

by DH, L@@ 2011. 6. 24.
1. 서론
⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자.


2. 악성코드 유포 사이트
⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까?
본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다.

- 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다.


[그림] 악성 스크립트 유포 사이트


 

- 해당 사이트에 접속하면, 아래와 같은 사이트로 연결되어 악의적인 스크립트가 실행된다.


[그림] 악성코드를 감염시키기 위해 다운로드 되는 파일 정보 



- 이중 마지막 단계인 main.swf 파일을 살펴보자.
최근, Adobe Flash Player (CVE-2011-2110) 취약점을 이용한 악성코드 감염이 일반적이다.

[그림] Adobe Flash Player 취약점을 이용한 main.swf 내부 코드


- 다운로드 받는 파일을 확인해 보자.
main.swf 파일에 파라미터 "info="를 통해 URL을 얻는다.

                                           main.swf?info=02e6b15253....[중략].......7084

[그림] 다운로드 파일


- 다운로드 된 파일 디코딩 후 실행 가능하다.

[그림] 다운로드 된 원본파일과 디코딩 후 파일 비교


3. 증상
⊙ 악성코드가 다운로드 되어 실행되면 다음과 같은 파일이 생성 및 변경된다.

C:\Documents and Settings\[사용자 계정]\Application Data\o.exe (악성코드)
C:\WINDOWS\system32\imm32.dll (악성코드에 의하여 변조된 파일)
C:\WINDOWS\system32\win32.dll (악성코드)


- 해당 악성코드는 온라인 게임의 계정을 탈취할 목적으로 제작 되었다.
악성코드에 감염된 사용자가 특정 온라인 게임의 로그인을 시도할때, 계정 정보 유출을 시도한다.

- 온라인 게임의 계정을 유출하는 악성코드가 상당히 많으니, 사용자들의 각별한 주의를 요한다.

[그림] 안철수연구소에서 산출한 악성코드 TOP 10


Ref)
- 윈도우 시스템 파일을 변조하는 악성코드 정보
⊙ 시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 : http://core.ahnlab.com/303
⊙ 윈도우 시스템 파일을 변조하는 악성코드 주의 : http://core.ahnlab.com/294
⊙ imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. : http://core.ahnlab.com/283
⊙ 윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H : http://core.ahnlab.com/280
⊙ imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 : http://core.ahnlab.com/267
⊙ 악성코드로 인한 imm32.dll 파일 변조 조치 가이드 : http://core.ahnlab.com/173


4. 조치 방법
⊙ 안철수연구소에서는 이와 같은 윈도우 정상 파일을 패치하는 악성코드를 빠르게 진단/치료 할 수 있는 전용백신을 제공하고 있다. (Gen 진단법이 추가되어, 앞으로 나올 수 있는 유사한 패턴의 악성코드도 치료가 가능하다.)

(단, 전용백신은 모든 악성코드 패턴이 포함되지 않으므로,

전용백신으로 검사 -> 재부팅 -> V3제품(최신엔진)으로 정밀검사를 권한다
.)





5. 예방 방법
- 악성코드 감염을 예방하기 위해서는 위 취약점들에 대한 보안 업데이트를 해야 한다. 업데이트 방법은 아래와 같다.

⊙  Adobe Flash Player 업데이트 방법
http://core.ahnlab.com/302

⊙  Internet Explorer 업데이트 방법
http://core.ahnlab.com/221



- 안철수연구소에서 제공하는 SiteGuard 를 설치하면, 악성코드를 유포하는 사이트를 방문할 경우, 사용자에게 허락 여부를 확인 받는다. ([허가]할 경우 악성코드에 감염될 수 있다.)


⊙ 안철수연구소에서 제공하는 사이트 가드 설치 페이지 : http://siteguard.co.kr/

댓글3

  • 김기헌 2011.06.29 09:11

    main.swf 파일에 파라미터 "info="에 대한 xor 값이 122로 되어 있는데 122란 값이 어떻게 나오게 되는건가요?
    답글

  • 디시 2011.07.03 16:24

    저 사이트 디시인사**같은데..
    답글

  • SIN 2011.09.20 19:32

    죄송합니다만 txt파일에서 디코딩은 어떠한 방식으로 다시 디코딩하죠?ㅠ.ㅠ 이부분이 잘 몰라서.ㅠ.ㅠ
    답글