imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. Posted By ASEC , 2011년 4월 22일 지난 주말을 기점으로 최근에 보고된 Adobe Flash Player의 취약점(CVE-2011-0611)이용한 악성코드 유포 사례가 증가하고 있습니다. 해당 취약점을 통해서 유포되는 악성코드들 중에는 정상 imm32.dll을 교체하는 것들도 있는데 최근에 발견된 변종에서는 백신에서 또는 사용자가 수동 조치할 수 없도록 윈도우 OS에서 사용하는 특정 계정그룹에 대한 권한을 변경하는 것으로 확인되었습니다. 안철수연구소의 대응상태 현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있습니다. V3:2011.04.18.02 Dropper/Onlinegamehack.83456 / Win-Trojan/Patched.66048 전용백신 다운로드 전용백신 사용 시 주의사항 √ 전용백신의 폴더권한 변경은 XP에서만 동작 √ Vista, Windows 7에서는 감염 테스트 시 악성코드가 정상 동작 않음(블루스크린 발생) √ Windows 서버계열에서는 구성환경 및 권한정책 때문에 폴더권한 변경은 제외함 Dropper/Onlinegamehack.83456이 이용하는 취약점은? Dropper/Onlinegamehack.83456가 이용하는 취약점은 위에서도 언급되어 있지만 Adobe Flash Player의 취약점(CVE-2011-0611)입니다. 해당 취약점에 대한 추가 분석정보는 아래 주소에서 보실 수 있습니다. ▶…
악성 플래시 파일, 당신의 PC를 노린다. Posted By ASEC , 2011년 4월 18일 해킹된 언론사 사이트를 통한 악성코드 유포 문제는 오래 전부터 발생해 왔고 지난 주말에도 국내 한 언론사 사이트가 해킹되어 악성코드 유포 사례가 발생했었는데 그 당시 악성코드를 PC에 감염시키기 위해서 가장 최근에 보고된 취약점인 CVE-2011-0611을 사용했다는 점에 주목할 필요가 있습니다. 안철수연구소의 대응상태: V3(2011.04.16.00) Dropper/Infostealer.46592.B Dropper/Onlinegamehack5.Gen 외 다수 참고로 V3에서 미진단되는 악성코드가 존재할 수 있습니다. CVE-2011-0611취약점 해결방법: CVE-2011-0611취약점을 해결하기 위해서는 아래 사이트로 접속하여 Adobe Flash Player의 최신 버전을 다운로드하여 설치해야합니다. http://get.adobe.com/kr/flashplayer/ [그림 0] CVE-2011-0611취약점 해결를 위한 Flash Player 설치 악성코드 감염과정 CVE-2011-0611 취약점이 존재하는 PC에 악성코드가 감염되는 과정은 아래 그림과 같습니다.
악성코드 제작자는 사용자가 익숙한 것을 노린다 Posted By ASEC , 2011년 4월 17일 악성코드 제작자는 자신이 제작한 악성코드를 유포하여 감염시키기 위해 사용자에게 익숙한 것을 노립니다. 다시 말해서, 사용자가 잘 알고 있는 제품이나 유명 인사, 회사, 사회적 이슈 등을 악성코드 유포에 사용함으로써 사용자가 의심없이 실행을 하도록 유도합니다. 1. 정상 파일명과 유사하거나 동일한 파일명 사용. 자주 사용되는 방법은 주로 윈도우 제품에 포함된 파일이나 사용자에게 인지도가 높고 잘 알려진 제품의 정상 파일명과 악성코드 파일명을 유사하거나 동일하게 생성하여 사용자를 현혹합니다. 아래는 v3 lite 제품의 파일인 것처럼 사용자를 속이기 위해 v3lite.exe라는 파일명을 가진 악성코드입니다. [그림 1] v3 lite의 제품의 파일인 것처럼 위장한 악성코드 2. 파일 버전 정보를 정상 파일의 정보로 위장. 악성코드는 파일 버전 정보를 정상 파일의 버전 정보인 것처럼 위장하여 사용합니다. 언뜻 보기에는 정상 파일의 버전이여서 사용자는 의심을 하지 않게 됩니다. 아래는 v3lite.exe 파일명을 가진 상기 악성코드의 버전 정보입니다. 국내의 모 IT 기업의 파일인 것처럼 버전을 위장하고 있습니다. [그림 2]…
윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H Posted By ASEC , 2011년 4월 16일 요즘 악성코드에 의해서 윈도우 정상파일(explorer.exe, winlogon.exe 등)이 패치 되거나 특정 조건에 만족하면 imm32.dll의 경우처럼 아예 악성코드로 교체하는 사례가 자주 발견되고 있는데 지난 주말 해킹된 국내 웹 사이트를 통해서 윈도우 정상파일(midimap.dll)을 악성 DLL으로 교체하는 Win-Trojan/Agent.30904.H가 유포 중인 것을 발견하였습니다. [그림 1] 유포방식 및 감염조건 Win-Trojan/Agent.30904.H는 위 [그림 1]에서 보는 것처럼 Internet Explorer 취약점 2개, Adobe Flash Player 취약점 1개 등을 사용하여 취약한 PC를 감염시킵니다. √ MS10-018: 초기화되지 않은 메모리 손상 취약점(CVE-2010-0806) http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx √ MS10-090: 초기화되지 않은 메모리 손상 취약점(CVE-2010-3962) http://www.microsoft.com/korea/technet/security/bulletin/ms10-090.mspx √ Adobe Flash Player Avm Bytecode Verification Vulnerability(CVE-2011-0609) http://www.adobe.com/support/security/advisories/apsa11-01.html d.exe가 실행되면 윈도우 정상 파일인 midimap.dll을 백업한 후 악성 DLL교체로 교체하는데 자세한 동작 방식은 아래 [그림 2]와 같습니다. [그림 2] Win-Trojan/Agent.30904.H의 동작방식 (1) [그림 3] Win-Trojan/Agent.30904.H의 동작방식 (2)…
