40곳 관리자 계정정보 노린 악성코드 상세 분석 Posted By ASEC , 2013년 7월 27일 2013년 7월 26일 보안뉴스에서 '언론사.포털 등 40곳 관리자 계정정보 노린 악성코드 출현!'이 보도되었다. 관련 악성코드를 분석 한 결과 유사 악성코드는 2012년 봄부터 배포되었으며 여름부터 사용자 및 관리자 계정을 훔치는 기능이 추가 된 것으로 확인되었다. 현재까지 정확한 감염 경로는 알려지지 않았지만 홈페이지를 변조해 취약한 웹브라우저로 접속 했을 때 감염되는 것으로 추정된다. 관련 악성코드는 관계도는 다음과 같다. 1. DSC_UP0399.jpg (imagebase11381.exe) 분석 감염된 시스템은 ahnurl.sys와 olesau32.dll 파일이 생성한다. 감염된 시스템에서 온라인 게임을 로그인 할 때 로그인 정보를 탈취하는 일반적인 온라인 게임 정보 탈취 악성코드이다. 게임 로그인 정보 외 특정 주소에 접속하면 로그인 정보를 유출하고 원격제어(백도어) 기능이 있는 파일을 다운로드 한다. 특정 주소는 방송사, 신문사, 포털, 쇼핑몰, 게임사, 보안 시스템 관리 등으로 직원이나 관리자 시스템을 노린 것으로 추정된다. 접속하는 주소에 따라 120504.gif ~ 120547.gif 중 하나를 다운로드한다. 2. 1205xx.gif…
