2012.04.18
안녕하세요. 안랩인입니다. 매 주말마다 악성코드의 경유지로 악용되고 있는 웹사이트 중 한 곳을 살펴봤습니다. 이번에 살펴본 취약한 웹사이트는 "낚시포털"이라는 타이틀로 운영중인 사이트입니다. 해당 사이트에 삽입된 스크립트를 통하여 악성코드 유포지로 연결됩니다.
[그림] 낚시 포털 웹 사이트
삽입된 스크립트는 순차적으로 또 다른 스크립트로 이동합니다.
[그림] 최초 스크립트가 삽입된 구문 1
[그림] 스크립트 이동 경로 2
[그림] 스크립트 이동 경로 3
웹사이트에서 유포중인 스크립트는 CVE-2010-0806 취약점을 이용하여, 사용자에게 악성코드를 감염 시킵니다. 물론, 취약점이 패치된 시스템은 감염되지 않습니다.
최종적으로 유포되는 악성코드 경로와 파일명은 아래와 같습니다.
[그림] 유포지와 악성 파일
[그림] 파일 정보
악성코드에 감염되면, OS에따라 생성되는 파일이 다릅니다. XP의 경우, 윈도우 정상 파일인 ws2help.dll 파일이 변조되며, 원본파일은 ws2helpXP.dll 로 백업합니다. indows 7 의 경우에는 C:\Windows\System32\HIMYM.dll 파일을 생성합니다. 해당 악성코드는, 사용자의 온라인게임 계정 탈취를 목적으로 제작되었습니다.
* 더 자세한 내용은 ASEC홈페이지를 참고하세요.
'AhnLab 보안in' 카테고리의 다른 글
| 악성코드는 운영체제를 가리지 않는다 (0) | 2020.04.15 |
|---|---|
| 그들은 해킹으로 말한다 (0) | 2020.04.15 |
| 속지말자! “Angry Birds” (0) | 2020.04.15 |
| 언론사 VS 파일 공유, 어떤 사이트가 더 위험할까? (0) | 2020.04.15 |
| 안랩에서 알려주는 앱과 악성코드 선별 방법 (0) | 2020.04.15 |
