최신 보안 동향

웹 브라우저 취약점을 이용하여 유포되어지는 악성파일 주의

TACHYON & ISARC 2011. 4. 19. 11:11
1. 개 요

특정 웹 브라우저 보안 취약점을 이용하여 유포 되어지는 악성파일이 최근 확인 되었다. 해당 악성 파일은 인스턴스 메신저에 포함 되어진 URL 주소 링크를 클릭할 경우 감염이 발생하게 되며, 사용자 정보 유출등과 같은 피해가 발생할 수 있으므로 인터넷 사용자 개개인의 주의와 예방의식이 필요할 것으로 여겨지고 있다. 



[참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page=

[참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일]
http://viruslab.tistory.com/1788

[참고 : 웹 취약점을 겨냥하고 네이트온 쪽지로 전파된 악성 파일 주의]
http://erteam.nprotect.com/113

2. 감염 방식 및 증상

개요 부분에서 설명 하였듯이 해당 악성파일은 특정 메신저의 대화창 이나 쪽지등에 포함되어진 URL 주소 링크를 클릭할 경우 IE와 같은 웹 브라우저의 보안 취약점으로 인하여 감염이 발생하게 된다.

최근까지 유포가 진행중인 특정 메신저 쪽지의 형태는 아래의 그림과 같이 확인되지 않은 URL 주소를 포함 하고 있다.


현재 위와 같은 링크가 포함되어진 URL 접근시 악성 스크립트 코드에 의하여 추가적인 악성파일을 다운로드 받아 설치하게 된다. 이같은 악성파일 감염 형태는 이전 글 에서도 설명 하였듯이 "CVE-2010-0806, MS10-018" 등과 같은 특정 웹 브라우저 보안 취약점으로 인하여 발생하게 된다.

 

http://www.hsgdh***.com/index.htm


사용자 PC의 환경 조건을 체크한 이후 취약점이 확인되어지면 악의적인 코드가 포함되어진 "1.html" 로 접근을 하게 되고, 악성파일 감염과정으로 부터 사용자를 속이기 위하여 정상적인 그림파일을 다운로드 받아 보여주게 된다. 현재 다운로드 되어진 그림파일은 아래와 같다.

 


악의적인 코드가 포함되어진 "1.html" 은 아래와 같이 인코딩 되어진 상태이며, 사용자 확인이 가능하도록 디코딩 하여 보았다.


디코딩 되어진 "1.html" 내부 코드를 살펴보게 되면 실행 가능한 exe 파일을 다운로드 받을수 있는 URL 주소를 포함하고 있다.

 

이러한 취약점으로 부터 다운로드 되어진 "adjku.exe" 파일은 아래의 그림과 같이 사용자 확인시 정상파일 처럼 보이기 위하여 "허위 디지털 서명" 및 "버전 정보" 등과 같은 파일 정보를 포함하고 있다.



3. 감염 증상


"adjku.exe" 악성 파일이 실행되면 아래와 같이 특정 경로에 악의적인 파일을 생성하게 된다.

[생성파일]

C:\WINDOWS\FXSST.dll (33,340 바이트)
C:\WINDOWS\system32\m_user.dll (80 바이트)
C:\WINDOWS\system32\V3lght.dll (15,360 바이트)
C:\Documents and Settings\(사용자 계정 폴더)\Local Settings\Application Data\f.exe (64,376 바이트)


※ 악성파일 감염 및 동작 방식 관계도


4. 예방 조치 방법


위와 같은 악성파일 유포 방식에 따른 감염 형태는 공개된 보안 패치 적용이 미흡한 상황에서 발생 가능성이 높으므로, 반드시 Windows 보안 패치를 비롯하여 응용 프로그램에 대한 최신 패치를 적용하는 등의 꾸준의 관리와 노력이 필요하다.

1. 윈도우와 같은 OS 및 각종 응용 프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
2. 발신처가 불 분명한 이메일이나 인스턴스 메시지에 포함되어진 확인되지 않은 URL 주소에 대한 접근은 주의를 기울이도록 한다.
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 적용하여 사용하며, 실시간 감시 기능을 "ON" 상태로 유지할 수 있도록 한다.

현재 잉카인터넷 대응팀에서는 위와 같은 변종 악성파일에 대하여 진단 및 치료 기능을 제공하고 있으며, 이러한 보안 위협으로 부터 상시 대응체계를 유지하고 있다.

 ※ nProtect Anti-Virus/Spyware 3.0 제품 진단 화면