반응형
지난 금요일(2013년 3월 23일) 오전에 안카메라가 업데이트 시 악성코드가 감염 된다는 소식을 지인으로 부터 전해들었다.
이에 확인 결과, 실제 안카메라 업데이트 파일이 변조되어 온라인게임 스파이웨어가 설치 되는 것이 확인되었다.
※ 현재 업데이트 파일은 정상파일로 수정되어있지만, 기록 차원에서 포스팅 한다.
- 안카메라 홈페이지 : http://ancamera.co.kr/home/index.html
안카메라는 현재 비영리 목적으로 사용하는 국내 모든 개인 및 법인/기관/단체/공공기간에서 무료로 사용할 수 있기에 더욱
보안(파일의 무결성)에 신경써야 할 것이다.
우선 "정상적인 안카메라 설치파일" 은 아래의 주소에서 받을 수 있다.
- 다운로드 사이트 : http://www.ancamera.co.kr/home/download_01.html
안카메라 메인 홈페이지에서 셋업파일을 받게되면 아래와 같은 파일을 받게 된다.
hxxp://down.ancamera.co.kr/app/install_2011/AnCamera_Setup_5.0.exe
(해당 파일은 정상적인 설치 파일로써 악의적인 행위는 하지 않는다!!)
AnCamera_Setup_5.0.exe 파일이 실행되면 특정 URL에서 프로그램의 업데이트를 위해 업데이트 파일을 다운로드 받게 된다.
hxxp://down.ancamera.co.kr/update/AnCamera_20130304_update_5.exe
아래는 프로그램 업데이트를 위해 다운로드 받은 "AnCamera_20130304_update_5.exe" 의 파일정보이다.
해당 파일에 의해 아래와 같이 긴급업데이트 내용이 팝업된다.
(해당 파일은 정상적인 설치 파일로써 악의적인 행위는 하지 않는다!!)
hxxp://down.ancamera.co.kr/update/AnCamera_20130304_update_5.exe
아래는 프로그램 업데이트를 위해 다운로드 받은 "AnCamera_20130304_update_5.exe" 의 파일정보이다.
해당 파일에 의해 아래와 같이 긴급업데이트 내용이 팝업된다.
문제는 해당 파일이 변조되어 지속적으로 악성파일을 유포시키고 있다는 점이다.
※ 파일 수집은 2013년 3월 23일 오후 11시 12분에 다운로드 받은 셋업파일 기준임!!
※ 파일 수집은 2013년 3월 24일 오후 11시 12분에 다운로드 받은 셋업파일 기준임!!
(이전까지 정상이였다가 다시 변경 된 것으로 확인 됨)AnCamera_20130304_update_5.exe 파일은 실행 가능한 파일이 2개로 나뉘어져 있으며, 2개 모두 파일이 난독화가 되어 있다.
1번 리소스는 XOR 0x19 으로 암호화가 되어 있으며 정상적인 안카메라 업데이트 파일이다.
2번 리소스는 XOR 0x86 으로 암호화가 되어 있으며 온라인게임 스파이웨어를 설치하는 악성파일이다.
(아래의 그림에서 위 그림이 정상적인 안카메라 업데이트 파일, 아래의 그림이 스파이웨어 악성파일이다)
(아래의 그림에서 위 그림이 정상적인 안카메라 업데이트 파일, 아래의 그림이 스파이웨어 악성파일이다)
설치되는 악성파일은 사용자의 온라인게임 및 게임 사이트의 계정과 패스워드를 가로채는 스파이웨어이다.
* 생성파일
C:\WINDOWS\system32\kakutk.dll (Spyware.OnlineGames-GLG)
C:\WINDOWS\system32\fhdteeu (Spyware.OnlineGames-GLG - kakutk.dll의 복사본)
C:\WINDOWS\system32\wshtcpip.dll (Spyware.OnlineGames.pip)
C:\WINDOWS\system32\Didu (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\ufuyGyYyfT (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\wshtcptk.dll (정상파일 wshtcpip.dll의 백업 파일) C:\WINDOWS\system32\drivers\1793e1a3.sys (Trojan.KillAV.sysdll)
* 레지스트리 생성
* 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AB705622-B25B-491B-A6BF-4A46FDDBC88E}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\221fbf78
해당 파일에 감염 된 시스템은 알약의 전용백신으로 치료가 가능하다.
'IT 보안소식' 카테고리의 다른 글
[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!! (4) | 2013.03.26 |
---|---|
[스마트폰 사기] 문자천국,인포허브,뉴스특보,한게임,마켓 승인번호,동창회,택배,더케이 위장 SMS 주의 (2013-03-26) (0) | 2013.03.26 |
[3.20 MBR 대란] YTN, KBS, MBC, 신한은행, 농협 정보전산망 마비 (2013-03-20) (0) | 2013.03.20 |
[스마트폰 사기] 다날, 아웃백, 한국사이버결제 위장 SMS 주의 (2013-03-18) (0) | 2013.03.18 |
악성코드 샘플 사이트 모음(Malware Sample Site) (0) | 2013.03.18 |
댓글