본문 바로가기
IT 보안소식

[정상파일변조] 변조된 사이트를 이용한 정상파일(midimap.dll)을 수정하는 악성파일 주의!!

by 잡다한 처리 2011. 4. 18.
반응형



지난 주말에 변조 된 웹사이트를 통해 특정 정상파일을 변경시키는 악성코드가 발견되었다.
삭제 시 부팅에 문제는 없지만^^ 소리가 안 들릴 수 있으니 주의하기 바란다.

<정상파일 정보>
파일명 : midimap(Microsoft MIDI Mapper)
파일위치 : C:\Windows\system32

8345C1412D18C10714B8945086B29BC8,18944(XP SP2) - 5.1.2600.2180 
7DF7F264CB80F5F3F380D6A7B1E971C0,18944(XP SP3) - 5.1.2600.5512

문제가 발생 된 홈페이지는 아래의 페이지로써 아직까지 배포가 진행중이라 중간중간 URL을 수정하였다.
(ㅠ.ㅠ 내 스퇄아님!!)

hxxp://joy****.co.kr
hxxp://joy****.co.kr/js/ajax.js
hxxp://174.128.***.62/ad.js
hxxp://174.128.***.62/ad.html
hxxp://174.128.***.62/ad.htm
hxxp://174.128.***.62/nb.swf
hxxp://174.128.***.34/ad.exe

CVE-2011-0609 취약점으로 인하여 사용자PC에 다운로드 및 실행되며, 실행 순서와 생성 파일은 
다음과 같다.

- 파일 정보
C:\WINDOWS\system32\midimap.dll (악성파일)
C:\WINDOWS\system32\midimap32.dll (악성파일이 백업용으로 수정 해 둔 정상 midimap.dll)
C:\WINDOWS\system32\2011418130727.dll (사용자의 감염 시간을 체크하기 위한 파일명으로 추정)
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\delself.bat (실행 된 ad.exe를 삭제하기 위한 bat파일)

변경 된 midimap.dll 파일은 다음사이트 및 프로세스에 대해 후킹하여 사용자 계정 및 암호를 가로챈다.

nexon.com

ndoors.com

pmang.com

df.nexon.com

FF2Client.exe

Lin.bin

IEXPLORE.EXE

mapleotp

dfotp



- 실행순서
1) 파일생성
ad.exe 파일의 리소스(Resource)에서 midimap.dll을 %TEMP%폴더에 생성한다.

2) 파일수정
특정 문자열을 %TEMP%폴더에 생성 한 midimap.dll에 추가한다.(사용용도는 분석 중)
"1195CDF7D3A0C00CFD8517740F ~[중간생략]~ DD3833E5584B41D77B20"

3) 레지스트리 수정
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 
"TabProcGrowth" = "0" 

TabProcGrowth값을 0으로 셋팅되면 인터넷익스플로러 탭을 다수로 생성해도 IE 8의 경우 LCIE 동작없이 하나의 프로세스만 생성된다.



4) WFP(Windows File Protect) 보호모드 해제

Sfc_os.dll의 Ordinal 5에 존재하는 unnamed API(SfcFileException)를 사용하여 보호모드를 해제한다.

WFP 보호모드 해제 대상파일은 C:\Windows\System32폴더에 존재하는 midimap.dll 파일이다.


5) midimap.dll 파일 수정

1. 정상파일 C:\WINDOWS\system32\midimap.dll -> C:\WINDOWS\system32\midimap32.dll 로 

복사

2. 정상파일 C:\WINDOWS\system32\midimap.dll -> C:\WINDOWS\system32\2011418143012

(감염날짜시간).dll 로 이동

3. %TEMP%폴더에서 midimap.dll -> C:\WINDOWS\system32 폴더로 복사
4. %TEMP%폴더에 있던 midimap.dll 파일삭제 


악성파일이 실행 된 후 C:\WINDOWS\system32 폴더에는 다음과 같이 파일이 생성된다.


악성파일은 재부팅 시 midimapl.dll(악성파일)과 midimap32.dll(정상파일)이 공존하는 재미있는 상태가 된다.


또한 정상파일의 역할을 못하는 midimap.dll(악성파일) 파일은 EAT(ExportAddressTable)을 이용하여
midimap32.dll 파일의 함수들을 Forward 시켜 정상파일의 역할을 수행하게 된다.




알약에서는 해당 파일을 다음과 같이 탐지한다.
ad.exe(V.DRP.OnlineGame.mi32), midimapl.dll(S.SPY.OnlineGames.mi32)



'IT 보안소식' 카테고리의 다른 글

악성파일로 인한 변조 된 정상파일(midimap.dll) 수동으로 치료하기!!  (30) 2011.05.08
아이폰 트래커(iPhoneTracker), 아이폰 트래커 사용방법 "내 위치추적은 얼마나 잘되나!!"  (4) 2011.04.27
네이트온 악성코드 사진변경(2011-04-17)  (2) 2011.04.17
야후 메신저(Yahoo! Messenger), 야후 메신저로 전파 되는 "Worm.IM.Slenfbot.AK(Worm.Ckbface)" 주의!!  (0) 2011.04.12
어도비 플래쉬 플레이어 제로데이(Adobe Flash Player 0-Day)를 이용한 악성파일 유포 주의!!  (0) 2011.04.12

관련글

댓글

티스토리툴바