olesau32.dll

인터넷 익스플로러 취약점 악용으로 유포된 관리자 계정 탈취 악성코드 변형

이번 악성코드의 유포방식은 10월에 알려진 변형들은 IE 제로데이 취약점을 사용하였다.  2013년 10월9일 보안패치가 나온 것을 감안 하면 그 이전부터 유포가 진행되었을 가능성이 높으며, 취약점 패치를 하지 않은 PC에는 여전히 유포 가능성이 존재한다. 아울러, CDN 서비스 업체인 G사를 통해 서비스 운영 중인 웹 사이트가 악성코드 배포지 중 일부로 악용된 것으로 추정된다.  Microsoft Security Bulletin MS13-080 – 긴급 Internet Explorer 누적 보안 업데이트 (2879017) 아래 그림은 IE 제로데이 취약점을 통해 감염이 이루어지는 과정을 나타낸다. 붉은색 블록으로 표시한 파일이 실제 핵심적인 기능을 수행하며, “악성코드 다운로드” 및 “관리자 페이지 계정정보 유출” 기능을 갖고 있다.  위 그림에 존재하는 swf.js는 guy2.html 파일을 iframe 태그로 로딩하는 기능을 가지고 있으며, guy2.html 은 다음의 2가지 기능을 가지고 있다.  – 특정 국산 백신들에 대한 무력화 시도  – 특정 사이트로부터 파일을 다운로드하고 실행 swf.js는…

40곳 관리자 계정정보 노린 악성코드 상세 분석

2013년 7월 26일 보안뉴스에서 '언론사.포털 등 40곳 관리자 계정정보 노린 악성코드 출현!'이 보도되었다. 관련 악성코드를 분석 한 결과 유사 악성코드는 2012년 봄부터 배포되었으며 여름부터 사용자 및 관리자 계정을 훔치는 기능이 추가 된 것으로 확인되었다. 현재까지 정확한 감염 경로는 알려지지 않았지만 홈페이지를 변조해 취약한 웹브라우저로 접속 했을 때 감염되는 것으로 추정된다.   관련 악성코드는 관계도는 다음과 같다. 1. DSC_UP0399.jpg (imagebase11381.exe) 분석 감염된 시스템은 ahnurl.sys와 olesau32.dll 파일이 생성한다.  감염된 시스템에서 온라인 게임을 로그인 할 때 로그인 정보를 탈취하는 일반적인 온라인 게임 정보 탈취 악성코드이다. 게임 로그인 정보 외 특정 주소에 접속하면 로그인 정보를 유출하고 원격제어(백도어) 기능이 있는 파일을 다운로드 한다.  특정 주소는 방송사, 신문사, 포털, 쇼핑몰, 게임사, 보안 시스템 관리 등으로 직원이나 관리자 시스템을 노린 것으로 추정된다. 접속하는 주소에 따라 120504.gif ~ 120547.gif 중 하나를 다운로드한다. 2. 1205xx.gif…