1. 개 요


imm32.dll 패치형 악성파일과 관련하여 앞서 소개한 바 있다. 그러나 최근 imm32.dll 패치 외 악성 svchost.exe 파일을 추가로 생성하여 동작하는 악성파일이 확인 되었다. 해당 악성파일은 사용자 계정정보 유출을 통한 2차 피해를 유발시킬수 있으므로 인터넷 사용자의 각별한 주의가 필요한 상황이다.


2. 감염 방식 및 감염 증상

이번에 발견되어진 악성파일은 정상 imm32.dll 패치 외에 윈도우 시스템 폴더에 악성 svchost.exe 파일을 추가로 생성하여 동작하는 등 새로운 방식의 감염 형태로 확인 되었다. 또한, 국내 특정 온라인 게임 및 메신저, Internet Explorer 파일에 인젝션되어 사용자 로그인시 로그인 정보를 후킹하여 외부로 전송하는 시도를 하게 된다.

현재 해당 악성파일은 이전 블로그에서도 설명 하였듯이 특정 웹 브라우저 취약점에 의한 유포나 해킹되어진 웹 페이지 등을 통하여 다운로드 되어진 형태로 감염이 진행되게 된다.

아래의 그림은 최근 이와 같은 방법으로 유포가 되었던 악성파일 중 하나이다.


다운로드 되어진 lala.exe 악성파일이 실행되면 윈도우 시스템 폴더에 악성 svchost.exe 파일을 생성하게 된다. 생성되어진 svchost.exe 파일은 다시 악성 유포지의 서버경로 정보를 포함하고 있는 txt 파일을 다운로드 받게 되고 이를 기반으로 추가 악성파일을 유포 서버로 부터 다운로드 받게 된다.


※ 악성파일 유포서버의 정보를 포함하고 있는 정보 파일


※ 악성파일 유포 Domain IP


lala.exe 악성파일에 의하여 생성 되어진 svchost.exe 와 imm32.dll 악성 파일은 특정 파일에 인젝션 되어 동작하고 있으며, 특정 온라인 게임 및 메신저, Internet Explorer 파일 등에 인젝션되어 동작하게 된다.


또한, svchost.exe 악성파일은 국내 특정 백신에 대한 기능을 무력화 시키고 있는 것으로 확인 되었다. 아래의 그림은
백신 무력화에 사용 되어지는 프로세스 명령어 이다.


※ 악성파일 감염 전후 특정 백신에 대한 프로세스 상태


위와 같은 악성파일이 실행될 경우 다음과 같은 경로에 추가적인 악성파일을 생성하게 되고, 윈도우 시작시 재 감염이 발생할 수 있도록 특정 레지스트리 값을 등록하게 된다.

[생성파일 정보]

C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\imm32A.dll
C:\Documents and Settings\사용자 계정 폴더\Local Setting\Temp\랜덤 6자리 숫자.tmp

※ 정상 및 악성 imm32.dll 등록 정보


※ 악성 svchost.exe 등록 정보


[레지스트리 정보]

HKLM\WOFTWARE\Microsoft\Windows\CUrrentVersion\RUN
 ▣ 값 이름 : Rundll32.exe
 ▣ 값 데이터 : "C:\WINDOWS\system\svchost.exe"

※ 레지스트리 등록 정보 


3. 예방 조치 방법

이와 같은 악성파일 감염으로 부터 내 PC를 보다 안전하게 사용하기 위해서는 다음과 같은 사전 예방수칙이 필요하다.

1. 윈도우와 같은 OS 및 각종 응용 프로그램에 대하여 최신 보안 패치를 적용 하도록 한다. 특히, 이와 같은 악성파일 감염 유형의 경우 최초 IE 취약점으로 부터 발생 가능성이 높음으로 최신 보안 패치 적용을 당부하고자 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 특정 웹 사이트를 통하여 다운로드 받아진 파일에 대하여 검증절차 없이 실행할 경우 주의를 기울이도록 한다.
3. 신뢰할 수 있는 보안 업체로 부터 제공 가능한 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트 적용하여 사용하도록 하며, 실시간 감시 기능을 "ON" 상태로 활성화 하여 사용하도록 권장하는 바이다.

이와 같은 악성 imm32.dll 와 svchost.exe 파일과 관련하여 nProtect Anti-Virus 제품군에서 모든 진단 치료가 가능하며, 잉카인터넷 대응팀에서는 지속적으로 발생 가능한 신종 및 변종 악성파일 위협으로 부터 상시 대응체계를 유지 하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 진단 화면


저작자 표시
신고
Posted by nProtect
1. 개요


최근 까지 인스턴스 메신저 또는 쪽지 등을 통하여 직접적인 파일 다운로드 방식으로 악성파일을 유포 하였던 일명 "네이트온 악성파일"이 특정 인터넷 게시판으로 접속을 유도한 뒤 웹 브라우저의 취약점을 이용하여 감염을 유발하는 등 좀 더 다양하고 지능된 유포 방식이 확인 되어 관련 글을 작성하여 보았다.


[참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page=

[참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일]
http://viruslab.tistory.com/1788

2. 감염 방식 및 취약점 정보

2-1. 감염 방식

최초 악의적인 공격자에 의하여 해킹된 네이트온 메신저의 등록 되어진 친구들에게 국내의 특정 인터넷 게시판 URL 주소가 포함된 쪽지를 발송하게 된다. 이후 사용자가 이를 클릭할 경우 해당 컴퓨터의 MS 보안 패치 적용 유무 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않을 경우 자동으로 감염되게 된다.

정상적으로 수신되어진 쪽지 안에는 아래와 같이 특정 URL 주소가 포함되어져 있으며, 클릭시 자동으로 사이트에 접근하게 된다.


현재 링크로 접속되어진 사이트의 게시판에는 악의적인 주소가 포함 되어진 top.html, pop.html 와 같은 스크립트 파일로 연결을 시도하게 된다. (현재 해당 사이트의 게시판은 폐쇄되어진 상태이다.)

또한, 해당 게시판은 제로보드 구버전으로 최근 공개되어진 제로보드 취약점에 노출 되어진 게시판으로 추정 되어 진다.

※ 제로보드(게시판) 취약점 정보 및 보안 패치 정보

[국내 공개 웹 게시판(그누보드) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=492&seq=-1   (인터넷침해 대응센터)

[국내 공개 웹 게시판(테크노트) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=491&seq=-1 (인터넷침해 대응센터)

[XpressEngine Core 1.4.4.4(보안패치)]
http://xe.xpressengine.net/?mid=issuetracker&act=dispIssuetrackerDownload (제로보드)

zboard.php 소스안에 iframe 형태로 추가된 main.html 스크립트 파일에는 MS의 특정 Internet Explorer 취약점을 악용하는 kr1.html, kr2.html 파일을 불러와 해당 게시판에 접속한 사용자 중 보안 패치가 적용되지 않은 사용자의 컴퓨터를 감염시키도록 되어 있다.

zboard.php의 특정 난독화 코드


zboard.php의 특정 난독화 코드(디코딩 후)


위 그림에 포함되어진 pop.html, top.html 소스에는 다음과 같은 특정 파일로 접근이 가능하도록 되어져 있다.


제일 먼저 main.html 부터 알아 보도록 하겠다. main.html 파일 내부에는 아래와 같이 4개의 함수와 함수내 각각의 변수로 받는 배열 값들이 서로 난독화 되어진 상태이다.


난독화 되어진 스크립트를 사용자가 알 수 있게 디코딩하게 되면 아래와 같은 악성 URL 주소가 포함되어진 파일로 접근하게 된다.


kr1.html 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, kr2.html 파일은 MS09-002 취약점을 이용하여 38.jpg 악성 파일을 다운로드하게 된다.

kr1.html 인코딩 상태의 파일 내용


디코딩 되어진 kr1.html, kr2.html 스크립트 파일 내부에 포함되어진 악성파일 URL 주소를 다음과 같이 확인할 수 있다.


두번째로 in.js 파일을 알아 보도록 하겠다. in.js 파일 내부에는 아래와 같이 ff10.htm 파일로 접근이 가능하도록 되어있다.


ff10.htm 파일 내부에는 사용자 컴퓨터의 OS 버전 및 특정 웹 브라우저(Internet Explorer, Firefox)의 버전을 비교하여 최신 버전이 아닐 경우 Exploit Code로 부터 취약한 환경에서 악의적인 동작 수행이 가능하다. (일부 내용만 공개)


만약 사용자의 특정 웹 브라우저 버전이 낮을 경우 다음과 같이 취약점이 노출되어진 Firefox 또는 Internet Explorer 환경에서 아래와 같은 cosplay.swf (플래쉬 파일)을 다운로드 받게 된다.


다운로드 된 cosplay.swf 파일이 실행 되었을때 사용자가 보기에는 정상적으로 동작하는 평범한 Flash 영상으로 보이지만 내부에는 악의적인 코드가 포함 되어져 있으며, 취약점이 발생할 경우 38.jpg 악성파일을 다운로드 받아 실행되게 된다.


이러한 취약점으로 부터 다운로드 되어진 38.jpg 파일은 정상적인 그림 파일인 것처럼 확장자가 jpg로 위장 되어져 있으나 실제 악의적인 동작을 수행하게 된다.


3. 감염 증상

다운로드 되어진 38.jpg 악성파일이 실행되면 아래와 같이 특정 경로에 파일을 생성하게 된다.

[생성파일]

C:\WINDOWS\system\winpingying.ime
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lins.log
C:\WINDOWS\system\winweng.exe

또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염이 발생하게 된다.

[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

- 값 이름 : "기본값"
- 값 데이터 : "C:\WINDOWS\system\winweng.exe"



38.jpg.exe 파일에 의하여 생성되어진 winweng.exe 파일은 아래와 같이 특정 보안 프로그램의 기능을 무력화 시킨다. 또한, 윈도우 시작시 마다 winweng.exe 파일을 자동 실행하여 보안 프로그램이 실행되지 못하도록 한다.

- AhnLab (V3)
- 이스트소프트 (알약)
- 바이러스 체이서(Virus Chaser)
- 카스퍼스키


또한, 해당 악성파일은 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplorer.exe 프로세스에 winpingying.ime 파일을 인젝션하여 특정 온라인 게임 계정 정보를 탈취하는 등의 악의적인 동작을 수행하게 된다.

- Maplestory
- Aion
- Hangame
- Pmang
- Lineagea1
- Lineagea2
- Mabinogi
- DNF


4. 예방 조치 방법

위와 같은 악성파일의 유포 방식은 공개된 보안 패치를 적용하지 않고 인터넷을 이용하는 사용자들로 부터 금전적인 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 응용 프로그램에 대한 최신 패치를 적용하는 등의 꾸준한 관리 습관을 가지도록 노력하여야 한다.

현재 잉카인터넷 대응팀에서는 다양한 변종 악성파일에 대하여 진단 및 치료 기능을 제공하고 있으며, 이러한 취약점 공격을 대비하여 상시 대응체계를 유지하고 있다.

1. 윈도우와 같은 OS 및 응용 프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
2.신뢰할 수 있는 보안업체에서 제공하는
백신을 항상 최신 엔진 및 패턴 버전으로 업데이해 사용해야 하며, 실시간
감시 기능을 "ON" 상태로 유지하도록 한다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면


저작자 표시
신고
Posted by nProtect
1. 개요


최근들어 개인정보 유출을 목적으로 하는 악성 파일들이 다양한 유포방식을 통하여 발견 되어지고 있다. 이러한 가운데 윈도우 운영체제의 중요 시스템 파일을 변조 하거나 백신 프로그램  검사 우회, 치료나 삭제시 시스템에 영향을 주는 악성파일들이 발견 되어짐에 따라 사용자들의 각별한 주의와 신속한 대응 전략이 마련 되어져야 할 것으로 보여지고 있다.


2. 감염 방식 및 취약점 정보

2-1. 감염 방식

현재 해당 악성파일은 사용자가 변조되어진 웹 페이지를 열람할 경우 MS 보안 취약점에 노출되어진 컴퓨터에서 악성파일이 실행되어 진다. 최근까지도 발생하고 있는  정상 Comres.dll 변조 악성파일은 인스턴스 메시지나 쪽지 등의 확인되지 않은 URL 접근시 또는, 변조되어진 웹 페이지를 열람 할 경우 감염이 진행되게 된다.


네이트온 악성파일로 잘 알려진 해당 악성파일은 기존의 단일화 되어진 유포방식을 지나 위의 그림처럼 좀더 다양하고 지능화 되어진 방식을 통하여 확산 및 감염이 가능하도록 그 목적을 두고 있다.

2-2. 취약점 정보


이와 같은 악성파일 감염은 최초 보안 취약점에 노출되어진 환경에서 발생할 수 있는 조건을 갖추고 있음으로 아래와 같이 MS 보안 업데이트 적용을 통하여 감염을 미연에 방지할 수 있다.


3. 감염 증상

다운로드 되어진 01.exe와 3.exe 악성파일이 실행되면 아래와 같은 특정 경로에 파일을 생성하게 된다. 또한, 해당 악성파일에 감염되면 정상 운영체제에서 사용되어지는 comres.dll 와 imm32.dll 파일을 변조하게 된다.

[생성파일]

(시스템 폴더)\ComResA.dll
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\nt32.dll.(임의의 영문).tmp
(시스템 폴더)\systemInfo.ini
(시스템 폴더)\systemInfomations.ini

[참고사항]

 - (시스템 폴더)란 일반적으로 C:\WINDOWS\system32 이다.

실제 정상 운영체제에 사용되어지는 Comres.dll 파일이 삭제 되어질 경우 시스템 이상 증상을 유발시킬 수 있기 때문에 백신 프로그램 등을 통하여 변조되어진 파일들을 정상 파일로 복원시켜주는 적절한 과정이 필요하다.

<참고> 파일 사이즈에 따른 정상파일 및 악성파일 구분 방법!!
 
  A. 정상 Comres.dll 파일 
     C:\WINDOWS\system32\comres.dll (16,232 바이트) 

  B. 악성 Comres.dll 파일
     C:\WINDOWS\system32\comres.dll  (7,168 바이트)

3.exe 파일에 의하여 생성되어진 nt32.dll 파일은 아래와 같이 특정 온라인 게임 계정 탈취 목적을 가지고 있다.

Pmang.com
Netmarble.net
Nexon.com
Lineage.plaync.co.kr
Hangame.com

※ 정상 Comres.dll, Imm32.dll 파일과 변조되어진 Comres.dll, Imm32.dll 파일 비교



4. 예방 조치 방법

1. 신뢰할 수 있는 보안 업체에서 제공하는 보안 소프트웨어를 설치하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
3. 윈도우와 같은 OS 및 응용프로그램에 대하여 최신 보안 패치를 적용하도록 한다.

현재 comres.dll 과 imm32.dll 변조 관련 악성파일은 아직까지도 많은 변종이 나타나고 있으며 각기 다른 증상이 발생하고 있다. 이와 같이 시스템 이상 증상이 발생할 경우 AVS2007 상단의 [신고하기] 메뉴를 이용하여 관련 정보를 제공하여 주시면 확인 후 좀더 빠른 대응 및 답변을 드릴 수 있습니다.

※ nProtect ANti-Virus/Spyware 2007 제품으로 진단한 화면



저작자 표시
신고
Posted by nProtect