윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H

요즘 악성코드에 의해서 윈도우 정상파일(explorer.exe, winlogon.exe 등)이 패치 되거나 특정 조건에 만족하면 imm32.dll의 경우처럼 아예 악성코드로 교체하는 사례가 자주 발견되고 있는데 지난 주말 해킹된 국내 웹 사이트를 통해서 윈도우 정상파일(midimap.dll)을 악성 DLL으로 교체하는 Win-Trojan/Agent.30904.H가 유포 중인 것을 발견하였습니다.

[그림 1] 유포방식 및 감염조건

Win-Trojan/Agent.30904.H는 위 [그림 1]에서 보는 것처럼 Internet Explorer 취약점 2개, Adobe Flash Player 취약점 1개 등을 사용하여 취약한 PC를 감염시킵니다.

d.exe가 실행되면 윈도우 정상 파일인 midimap.dll을 백업한 후 악성 DLL교체로 교체하는데 자세한 동작 방식은 아래 [그림 2]와 같습니다.

[그림 2] Win-Trojan/Agent.30904.H의 동작방식 (1)

[그림 3] Win-Trojan/Agent.30904.H의 동작방식 (2)

감염된 후에는 위 [그림 3]과 같이 동작하기 때문에 프로그램 실행 시 에러가 발생하지 않으며 이 부분에 대해서 좀더 기술적으로 살펴보면 아래 [그림 4]와 같습니다.

[그림 4] 악성 DLL과 백업된 정상 DLL의 로딩구조

[그림 3, 4]를 보면 winlogon.exe가 midimap.dll의 특정 함수를 호출할 때 악성 midimap.dll에는 호출된 함수의 기능이 없기 때문에 백업된 정상 midimap32.dll을 로딩하여 해당함수를 호출하는 것입니다.

악성 midimap.dll은 다른 여느 악성코드들과 마찬가지로 특정 온라인 게임 사용자의 계정정보를 탈취하기 위한 목적을 가진 악성코드입니다.

[그림 5] 탈취한 계정 정보를 특정 URL사이트로 전송

안철수연구소의 대응상태는 아래와 같습니다.