관련 내용 : http://asec.ahnlab.com/785
그리고 이번주 주말에 위에서 언급한 타켓 공격과 관련된 취약점을 국내 웹사이트를 통해 전파되는 온라인 게임핵도 이용하여 악성코드를 감염시키는 것으로 확인되었다.
해당 취약점은 웹페이지에 삽입된 악성 SWF 파일에서 아래와 같은 액션 스크립트로 MP4 파일을 로드하고 있으며 아래 코드에서 MP4 파일은 ee.jpg 이다.

이 취약점은 얼핏 보기에는 이전부터 꾸준히 이용되고 있던 역시 MP4 파일 관련 취약점인 CVE-2011-2140 취약점과 떨어지는 형태나 패턴이 유사하나 두개의 파일을 비교해보면 확연히 다름을 알 수 있다.
현재 악성코드는 두가지 취약점 모두 이용하여 감염시키고 있으며 이전부터 이용되던 CVE-2011-2140 취약점은 ea.jpg 파일명으로, 이번에 발견된 CVE-2012-0754는 ee.jpg 라는 파일명으로 MP4 파일을 생성하여 사용하는 것으로 파악되었다.


C:WINDOWSsystem32WindowsEx.dll |
악성코드는 Avkill 기능과 Online Game 의 계정을 탈취하는 기능이 포함되어 있다.

[그림4] 악성코드가 탈취하려는 온라인 게임 리스트
감염된 시스템은 아래의 전용백신으로 조치할 수 있다.
http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105 |
현재 국내의 많은 사이트에서 해당 취약점을 이용한 온라인 게임핵 유포가 발생되고 있으므로 http://get.adobe.com/kr/flashplayer/ 사이트에 접속하여 최신 버전의 Adobe Flash Player 를 다운로드 받아 설치 및 업데이트 하는 것을 권장 한다.

V3 제품군에서는 이와 관련된 악성코드를 아래와 같이 진단한다.
Trojan/Win32.OnlineGameHack
JS/Agent
SWF/Exploit
Categories:악성코드 정보