참으로 오랜만에 글을 쓰는 것이 아닐까. 최근 애니메이션이란 분야에 푹 적셔져 블로그도 애니메이션에 관한 글로 범벅이 되었다. 먼저, 이런 나의 블로그를 원 목적에 쓰이게 해주신 콴님에게 깊은 감사의 말씀을 전하고 싶다.
현재 시각 : 오후 11:43 2010-02-07 유포 진행중!
씨네통 사이트의 메인에 접속하면, common.js라는 파일을 h**p://******ng.com//js/common.js 라는 주소로 다운로드 받는다. 이 파일을 메모장이나 기타 프로그램으로 열어보면, 이런 URL이 Document를 이용해 적용되어 있다.
위의 그림을 보면, 뭔가 정상적인 사이트에 있어야 할 내용들 중에 하나가 억지로 끼워졌다는 위화감이 들지 않는가? 크기도 0으로 불러드리질 않나.. 그래서! Result.asp 파일을 다운로드 받아서 역시 열어보았다.
아이프레임으로 au.htm 이라는 파일을 다운로드 받고 있다. 밑의 URL은 흔히들 말하는 홍보포인트 불법 태그가 아닐까? ㅎㅎ 일단 저건 패스토록 하고, au.htm 파일을 보도록 하자. 냄새가 나기 시작한다. 스멜~
대충 이런 내용과 함께 끝 부분에는
이런 게 있다.
먼저, GSl.gif 파일을 다운로드 해 보았는데, 안에 GIF포맷만 있고 아무것도 없었다. 그러므로 이번 조사에는 제외토록 하자. 그렇다면 남는 것은 바로 위에 명백하게 암호화 되어 있는 내용일진데, 일단 일차적으로 풀어보면 이런 내용이 나온다.
아주 개 자식이다; 중간 중간에 변수를 써서 내용을 넣는 형식으로 쉘코드를 완성하고 있다. 그리고 끝터리에는 최근에 등장한 익스플로잇 코드가 살포시 자리잡고 있는 모습이 보인다. 분명히 저 익스플로잇에 대해 읽었는데.. 차마 그 내용이 생각나지 않는다. 최근에 본 건 맞는 거 같은데 말이다. ^^;; 필자의 귀차니즘을 용서하시길..
이래저래 그냥 돌려도 될 거 같지만 간만에 해본 김에 대충 짜 맞추기를 다 해보았다.
이제 완성이다. 원래 이런 건 다 돌려보면 중요한 한 줄만 존재하기 때문에, 크게 맞출 필요는 없다. -_-; 어찌되었건 나의 목적은 익스플로잇이 무엇인지 확인하는 게 아니라, 이 익스플로잇을 이용해 다운로드 하는 파일이 무엇인지가 목적이므로, 익스플로잇 부분은 크게 신경쓰지 않는다. 두두두두.. 돌려보면.. (딱히 꼬는 건 없어서 비교적 쉬웠다.)
지금 생각하니 약간 뻘짓을 한 것도 같지만.. 일단 URL을 확보하였다. 다운로드 하려는 순간 Norton Internet Security가 Dropper로 진단을 한다.
그렇다면 바이러스 토탈에 업로드하여, 많은 백신들은 이 파일을 어떻게 진단하는 가를 살펴보자.
File F.exe.jc_ received on 2010.02.07 15:04:24 (UTC)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.07 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.06 W32/RLPacked.A.gen!Eldorado
Avast 4.8.1351.0 2010.02.07 Win32:Rootkit-gen
AVG 9.0.0.730 2010.02.07 Klone
BitDefender 7.2 2010.02.07 BehavesLike:Trojan.Generic
CAT-QuickHeal 10.00 2010.02.06 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.07 -
Comodo 3852 2010.02.07 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.02.07 Trojan.MulDrop.60230
eSafe 7.0.17.0 2010.02.07 Win32.TRDropper
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.06 W32/RLPacked.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.02.07 BehavesLike:Trojan.Generic
Fortinet 4.0.14.0 2010.02.07 PossibleThreat
GData 19 2010.02.07 Win32:Rootkit-gen
Ikarus T3.1.1.80.0 2010.02.07 Trojan.Crypt
Jiangmin 13.0.900 2010.02.07 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.07 Trojan.Win32.Vilsel.sbp
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 Artemis!D85DE1A13559
McAfee-GW-Edition 6.8.5 2010.02.07 Trojan.Dropper.Gen
Microsoft 1.5406 2010.02.07 -
NOD32 4844 2010.02.07 -
Norman 6.04.03 2010.02.07 Malware.LFIJ
nProtect 2009.1.8.0 2010.02.07 -
Panda 10.0.2.2 2010.02.07 Trj/CI.A
PCTools 7.0.3.5 2010.02.07 Trojan.Dropper
Prevx 3.0 2010.02.07 -
Rising 22.33.06.04 2010.02.07 Trojan.Win32.Generic.51F94A6D
Sophos 4.50.0 2010.02.07 Mal/EncPk-EY
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.0.182 2010.02.07 -
TrendMicro 9.120.0.1004 2010.02.07 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 Packed/RLPack
많은 백신들이 진단을 하고 있지만 정작 제대로 된 진단은 없다. 국내 백신은 여러가지 부가가 붙어서(ASD, Bitdefender 엔진 등 바이러스 토탈에는 반영되지 않는 부분들) 이 파일을 제대로 진단하는 지 안 진단하는 지는 잘 모르겠지만 이렇게 많이 진단하고 있으니 진단하고 있을지도 모르겠다.
마지막으로 EXE에 대한 자동분석 결과를 스크린샷으로 적겠다.
먼저, 위와 같은 파일을 설치한다. 여기에서 주목해야 할 것은 hf0019.dll 파일이다.
위와 같이, hf0019.dll 파일을 dllhost.exe, iexplorer.exe, vmwareueser.exe 파일에 강제로 인젝션하게 한다. Vmware 까지 건드리다니 개눔이다 ;ㅁ;
다음으로 위와 같이 레지스트리를 생성 또는 수정을 하도록 설계되어 있다.
역시나 이번 일도 중국인의 짓이다.
앞으로도 다가오는 보안 위협에, 국내 사이트들은 언제까지나 비 표준화, 비 보안을 일 삼으면서 우리에게 주민등록번호를 입력하라고 요구할까.. 메이저 업체들도 공격을 받고 그것을 시인하는 수준인데, 이렇게 대응이 느려서야 어떻게 할까. 하루 빨리 회원가입과 웹서핑을 보다 안전하게 할 수 있게, 홈 페이지 관리자들의 개념이 바뀌었으면 좋겠다.
'IT, Security' 카테고리의 다른 글
| 코믹스톰(comicstorm) 사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다 (0) | 2010.06.05 |
|---|---|
| 사이트가드 2.0에 관하여 (2) | 2010.05.27 |
| 리뷰스타(Reviewstar) 사이트가 타인에 의해 악의적인 목적으로 강제수정 되었다 (0) | 2010.05.27 |
| KBS 인증(sso.kbs) 페이지가 타인에 의해 악의적인 목적으로 강제수정 되었다 (2) | 2010.05.27 |
| 이번 2월 23일 대량 유포된 서든어택 스피드 핵 (0) | 2010.05.27 |
