익스플로러 제로데이 취약점을 이용한 악성코드 유포

1. 서론
 최근 확인된 인터넷 익스플로러 취약점을 이용한 악성코드 유포가 확인되어 주의가 필요하여 해당 글을 작성합니다.



2. 유포 경로 및 취약점

 최근 국내 유명 포탈의 일부 메뉴에 악성 스크립트가 삽입됨을 확인하였습니다. 해당 악성 스크립트를 분석한 결과 기존에 발견된 익스플로러 취약점 (MS10-018)과 가장 최근에 발견된 익스플로러 취약점으로 아직까지 공식패치가 나오지 않는 취약점 (CVE-2010-3962)을 이용하고 있었습니다.

[악성코드 유포 URL]
http://125.***.6.18/Multi/f/w3.js
    L http://125.***.6.18/Multi/f/w3.asp (CVE-2010-0806, MS10-018)
        L http://www.*****114.com/cafe/help/box.exe
    L http://125.***.6.18/Multi/f/ns.htm
        L http://125.***.6.18/Multi/f/test.htm (CVE-2010-3962)

            L http://www.*****114.com/cafe/skin/page/mam.exe


[표 1] 삽입된 악성코드 유포 URL

[그림 1] 최근에 발견된 익스플로러 취약점을 이용한 악성 스크립트 일부 내용



해당 제로데이 취약점에 대한 자세한 내용은 http://blog.ahnlab.com/asec/432 페이지를 참고하시기 바랍니다.

3. 악성코드 감염 시 나타나는 증상
 취약점을 통해 악성코드가 실행되면
, 자신과 동일한 파일을 랜덤한 이름으로 아래와 같이 생성하며, explorer.exe 프로세스에 핸들되어 동작합니다.

C:WINDOWSsystem32bbuzu.exe(랜덤명)

[ 2] 생성되는 파일


그리고 인터넷 임시폴더(Temporary Internet File)에 생성된 임시 파일(최초 다운로드된 파일)을 삭제합니다.

C:Documents and Settings[사용자계정]Local SettingsTemporary Internet Files…box[1].exe

[ 3] 임시폴더 생성파일


아래와 같이 레지스트리값을 등록하며, 생성된 파일을 지속적으로 등록하여 시스템 부팅시 악성코드가 자동으로 실행될 수 있도록 설정합니다.

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
“TabProcGrowth”=”0x0”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
“Userinit”=”C:\Windows\system32\userinit.exe, bbuzu.exe”

[ 4] 레지스트리값 생성


최초 홍콩 지역으로 추정되는
IP로 접속을 시도합니다. 이후 특정 URL로 연결시도하나 현재 해당 서버에는 접속되지 않습니다.

 

180.***.33.180:80

uieei2.7****2.com/uieei2/uieei2.jpg

uieei2.7****2.com/uieei2/uieei2.gif

[ 5] 네트워크 연결


아래와 같이
던전앤파이터, 리니지, 메이플스토리 등 다수의 게임 및 MSN메신저, 야후메신저 관련 스트링이 확인됩니다.


Hacker!Hacker!!Hacker!!!


respcotp.okf

usergsoptiondata.opt

lin.bin

maplestory.exe

arad.exe

ragexe.exe

ragurdrexe.exe

wow.exe

gersang.exe

twelvesky2.exe

Red Stone.exe

InphaseNXD.exe

dnf.exe

pol.exe

l2.bin

ff2client.exe

msnmsgr.exe

_beanfuncore.exe

yahoomessenger.exe

aion.bin

online.dat

elementclient.exe

aclient.exe

ragfree.exe

pcotp.exe


[ 6] 파일 내부 문자열

4. 피해통계
 최종적으로 다운로드되는 실행파일에 대해, ASD(Ahnlab Smart Defense) 에서 수집된 통계자료는 아래와 같습니다. (중복 진단건수 포함)

해당 악성코드는 7일까지 활발히 전파되었다가 서서히 소강상태에 접어들어 금일 12일 부터는  피해가  거의 발생하지 않는 상태입니다.

5. 진단 현황



 현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 엔진을 최신버전으로 유지하시기 바랍니다.


Win-Trojan/Onlinegamehack.54784.AS
HTML/Agent


Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments