1. 서 론
최근에 특정 국내 웹 사이트가 해킹되어 특정 온라인 게임 사용자의 계정 정보를 탈취하는 악성코드를 유포하는 사례가 발생하여 해당 사례에 대해서 간단하게 정리해 보았다.
최근에 특정 국내 웹 사이트가 해킹되어 특정 온라인 게임 사용자의 계정 정보를 탈취하는 악성코드를 유포하는 사례가 발생하여 해당 사례에 대해서 간단하게 정리해 보았다.
2. 악성코드 유포방법 및 증상
이번 사례에서는 본 목적을 가진 악성코드를 사용자의 PC에 감염시키기 위해서 IE & Adboe Flash Player의 취약점 등을 사용했고 백신이나 네트워크 장비에서 탐지를 회피하기 위해서 악성 스크립트를 여러 조각으로 구성해 놓았는데 말로 설명하는 것보다 아래 그림을 통해서 보는 것이 더 이해가 쉬울 것 같다.
[그림 1] 악성 스크립트의 실행구조
[그림 1]에 설명된 모든 스크립트가 실행되는 것은 아니며 조건(IE&Flash Player 버전)등을 고려하여 일부 스크립트만 다운로드 및 실행하는 구조이다.
3. 스크립트 분석
3.1 a.htm
a.htm은 “MS09-043 취약점“을 이용하여 악성코드(scvhost.txt)를 실행하는 악성 스크립트이다.
-. 취약점 정보: http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx
Categories:악성코드 정보