또 다시 주말이 왔습니다. 주말이 되면 일상적으로 시도되는 자동화된 공격을 pgr도 당분간은 피해갈 수 없는 일이 되버린 것 같습니다. 간혹 질문글에 보안 제품의 악성코드 차단 메시지를 보고 질문하시는 분들이 있어 간단하게 이번 주에 유포되는 악성코드에 대해서 살펴보도록 하겠습니다.

※ 아마추어가 하는 것이라 빠진 부분이 여럿 있고, 틀린 부분이 있을 수 있습니다. 적당히 참고하시고 관련글의 링크를 주의깊게 읽어보시기 바랍니다.

각설하고 이번주에 pgr에 삽입된 코드는 아래와 같습니다.


관리자분들이 계속 처리를 하시고, 공격자들이 코드를 바꾸는 경우가 있으니 확실하지는 않습니다.
(09시경 유포되었던 코드)

요놈은 아래와 같은 중간 스크립트들과 최종 악성코드를 다운받게 합니다.

h**p://jsp.imaeil.com/p.js
 ┗ h**p://jsp.imaeil.com/p.html
      ┗ h**p://jsp.imaeil.com/z.html
      ┗ h**p://jsp.imaeil.com/z.js
      ┗ h**p://jsp.imaeil.com/l.html
      ┗ h**p://jsp.imaeil.com/c.html
           ┗ h**p://jsp.imaeil.com/c.swf
      ┗ h**p://jsp.imaeil.com/top.swf
      ┗ h**p://jsp.imaeil.com/ad.swf                 (Exploit.SWF.CVE-2010-2884.b : Kaspersky)

      ┗ h**p://jsp.imaeil.com/n.html                  (EXP/CVE-2010-0806.AD : AVIRA)    


 -> h**p://jsp.imaeil.com/p.css -> s.exe                   (Dropper/Win32.OnlineGameHack : v3)
    - MD5 : 1ec3df98171ed9ab9b3a033df2aaf58e

이번 공격 또한 Adobe Plash Player와 IE의 취약점을 이용해 공격합니다. 따라서 Adobe flash player 최신 버전인 11.0.1.152로 업데이트되고, IE의 최신 보안 패치가 설치된 환경에서는 악성코드가 다운/실행되지 않습니다. 취약점이 제거된 상황이거나, 안티바이러스에 의해 중간 스크립트 코드 또는 최종 악성코드가 진단, 차단될 경우 시스템 감염은 이루어지지 않습니다.

일단 취약점이 존재하고 안티 바이러스의 성능이 미비할 경우 최종 다운로드되는 악성코드는 시스템 폴더의 ws2help.dll 을 패치하여 IE와 각종 프로세스에 삽입 특정 사이트와 프로세스를 감시하게 됩니다. 감시되는 사이트와 프로세스는 주로 국내 온라인 게임들이며, 사실상 대부분의 온라인 게임 아이디와 비밀번호가 감시, 유출된다 보시면 됩니다.

ㆍC:\WINDOWS\system32\ws2help.dll                    (Win32:OnLineGames-FZQ  : AVAST)
  - MD5 : 83fbca5de6b18f9b5a64c4e1eb832880

ㆍ원본 파일 -> C:\WINDOWS\system32\ws3help.dll
                 -> C:\WINDOWS\system32\2011(랜덤값 숫자).dll

아래와 같이 감연된 ws2help.dll은 모질라 재단의 파이어폭스의 파일(plds4.dll)로 위장하고 있는 것을 확인할 수 있습니다.


아래는 감염된 파일과 원본간의 비교입니다.


이런 악성코드를 예방하려면 윈도우를 비롯한 IE, Office 등의 보안 패치와 JAVA 업데이트를 항상 하셔야하며, 추가적으로 Adobe사의 플래쉬, PDF Viewer 등도 함께 업데이트하셔야 합니다. 또한 크롬, 파이어폭스 등 웹브라우저를 비롯하여 사용하시는 모든 프로그램들을 항상 최신 버전으로 유지하시는 것도 중요합니다. 자주 이용되는 것은 아니지만, IE나 플래쉬 취약점외에도 다양한 취약점 공격이 행하여 집니다.

마지막으로 사용하고 있는 안티 바이러스를 항상 최신 버전으로 유지하며, 실시간 감시를 무슨 일이 있더라도 항상 활성화하여 유지하는 것이 중요합니다.


오늘 운이 나빠서 pgr이나 다른 사이트에 접속하여 위와 같은 악성코드에 감염이 되셨다면 관련글의 링크를 참고하셔서 수정하신 수, 사용하시는 안티 바이러스를 이용하여 시스템을 전체 검사하시기 바랍니다. 관련글의 내용과 다소 다른 부분이 있지만, 기본적으로는 동일한 형태를 갖추고 있어 수정하시는데 큰 문제는 없습니다.



주말만 되면 이 문제로 질문글이 많이 올라오고 걱정하시는 분들이 많아서, 간략하게나마 작성해봤습니다. 도움이 되었길 바랍니다.




- 이상입니다.


Posted by 물여우

댓글을 달아 주세요

  1. Favicon of http://www.naver.com/ BlogIcon HaoZipUI 2011.11.09 00:11 신고  댓글주소  수정/삭제  댓글쓰기

    제 컴퓨터는 HaoZipUI 로 위장해 있더군요

  2. 2011.11.11 22:25 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요 ㅠ
    제가 위방법중에 파일바꾼다음 재부팅을했는데..무한재부팅이되요 ㅠ 다른파일은 안만졌는데 ㅠ ㅠ 왜그럴까요 ㅠ?

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2011.11.11 23:10 신고  댓글주소  수정/삭제

      음.. 며칠 사이에 벌써 패치를 시키는 악성코드가 바뀌어, 현재는 복구 방법이 다릅니다.
      일단 위 제목에 적힌 날짜 전후로 파일이 변경되었다 가정을 하면 원본을 정확하게 바꾸셨어야 하는데 과정 중에 실수를 하신 것이 아닌가 싶습니다. 안전 모드를 통해서 다시 복구를 시도해 보세요.