윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H

요즘 악성코드에 의해서 윈도우 정상파일(explorer.exe, winlogon.exe )이 패치 되거나 특정 조건에 만족하면 imm32.dll의 경우처럼 아예 악성코드로 교체하는 사례가 자주 발견되고 있는데 지난 주말 해킹된 국내 웹 사이트를 통해서 윈도우 정상파일(midimap.dll)을 악성 DLL으로 교체하는 Win-Trojan/Agent.30904.H가 유포 중인 것을 발견하였습니다.

[그림 1] 유포방식 및 감염조건

 

Win-Trojan/Agent.30904.H는 위 [그림 1]에서 보는 것처럼 Internet Explorer 취약점 2, Adobe Flash Player 취약점 1개 등을 사용하여 취약한 PC를 감염시킵니다.

√ MS10-018: 초기화되지 않은 메모리 손상 취약점(CVE-2010-0806)
  http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

√ MS10-090: 초기화되지 않은 메모리 손상 취약점(CVE-2010-3962)
  http://www.microsoft.com/korea/technet/security/bulletin/ms10-090.mspx

√ Adobe Flash Player Avm Bytecode Verification Vulnerability(CVE-2011-0609)
  http://www.adobe.com/support/security/advisories/apsa11-01.html

d.exe가 실행되면 윈도우 정상 파일인 midimap.dll을 백업한 후 악성 DLL교체로 교체하는데 자세한 동작 방식은 아래 [그림 2]와 같습니다.

[그림 2] Win-Trojan/Agent.30904.H의 동작방식 (1)

[그림 3] Win-Trojan/Agent.30904.H의 동작방식 (2)

 

감염된 후에는 위 [그림 3]과 같이 동작하기 때문에 프로그램 실행 시 에러가 발생하지 않으며 이 부분에 대해서 좀더 기술적으로 살펴보면 아래 [그림 4]와 같습니다.

[그림 4] 악성 DLL과 백업된 정상 DLL의 로딩구조

 

[그림 3, 4]를 보면 winlogon.exe midimap.dll의 특정 함수를 호출할 때 악성 midimap.dll에는 호출된 함수의 기능이 없기 때문에 백업된 정상 midimap32.dll을 로딩하여 해당함수를 호출하는 것입니다.

 

악성 midimap.dll은 다른 여느 악성코드들과 마찬가지로 특정 온라인 게임 사용자의 계정정보를 탈취하기 위한 목적을 가진 악성코드입니다.

[그림 5] 탈취한 계정 정보를 특정 URL사이트로 전송

 

안철수연구소의 대응상태는 아래와 같습니다.

* V3: 2011.04.16.00

Win-Trojan/Agent.30904.H

Win-Trojan/Agent.21864

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments