본문 바로가기
IT 보안소식

홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조)

by 잡다한 처리 2011. 1. 5.
반응형


(위의 그림은 정상적인 Windows XP - SP3의 Comres.dll의 등록정보이다. 참고로 올려놓았다)

주말에 발생 된 홈페이지 변조로 인하여 윈도우즈 정상 시스템 파일인 Comres.dll 변조 되는 사례가 나오고 있다.

예전에 온라인게임 dll 파일을 동작시키기 위해 Comres.dll이 변조 된 경우(포스팅이 없다 ㅠ_ㅠ 블로그를 하기전이라)가 있었고, 근래에 와서는 네이트온으로 전파 되는 악성코드가 Comres.dll를 변조 시키는 경우가 있었다.

- 관련글

위의 글을 보면 쉽게 알 수 있겠지만, 결론적으로 설명하면 다음과 같다.
정상적인 파일인 Comres.dll -> x_com.dll 또는 kkk.tmp 파일로 백업악성코드가 Comres.dll의 이름을 사용한다.
이번에 발견 된 악성코드도 비슷한 성향을 띄고 있다.
ComRes.dll -> ComResA.dll 로 백업 후 악성코드가 Comres.dll의 이름을 사용하게 된다.

이제 본론으로 들어가서 간략하게 악성코드를 살펴보자.

- 해당 악성코드는 다음의 경로를 통해 다운로드 된다.
http://www.37****.com:5656/3.html (CVE-2010-0806 취약점, MS10-018) 
 -> http://www.37****.com:5656/01.exe

보안업계사람들이 주위 사람들한테 항상 하는 이야기 중 하나가 바로 이것이다.
"윈도우즈 보안업데이트 좀 해라!!" <- 이말은 틀린말이 아니다!! 윈도우에서 가장 1차적으로 악성코드를 막을 수 있는 방법이니
이 글을 보고 혹시나 안한 사람들은 업데이트 좀 하시길...!!
물론 이 악성코드도 보안업데이트가 되어 있다면, 애시당초 감염 되지도 않는다!!
* MS10-018 업데이트 정보


- 다운로드 된 01.exe는 다음과 같은 행위를 한다.
AYAgent.aye, SkyMon.exe 두개의 프로세스를 확인하여 프로세스 존재 시 종료 시킨다.
(도저히 난 SkyMon.exe가 뭔지 모르겠다;; 아시는분 댓글좀 ㅋㅋ)

WFP 기능을 해제하고 정상적인 Comres.dll 파일을 ComResA.dll로 이름을 바꾼 후,
Resource에 존재 하는 PE파일을 system32 폴더에 ComRes.dll 파일로 생성한다.

* C:\WINDOWS\system32\dllcache 폴더에 백업되어 있는 
                                                   Comres.dll 과 imm32.dll은 변조대상이 아닌것으로 확인됨 *

01.exe의 기능은 이걸로 끝!!

- 변조 된 ComRes.dll는 다음과 같은 행위를 한다.
(위의 그림은 변조 된 ComRes.dll 파일의 등록정보이다. 크기가 정상과 크게 차이난다.)

이놈도 프로세스를 종료한다 ㅡ.ㅡ;; 엄밀히 말하면, 종료라기 보단 자폭이라 해야할까 ㅎㅎ
변조 된 ComRes.dll 파일을 로드한 파일명이 ALYac.aye, AyAgent.aye, SkyMon.exe 경우 ExitProcess 시킨다.

다운로드 정보를 다음파일에 저장한다.
C:\WINDOWS\system32\systemInfo.ini
C:\WINDOWS\system32\systemInfomations.ini

이후 인터넷에 접속하여 다음과 같은 파일들을 다운로드 및 MAC 정보를 가져간다.
http://ddd.37****.com:7878/dd.txt
http://ddd.37****.com:7878/3.exe
http://ddd.37****.com:7878/clcount/count.asp?mac=xxxxxxxxxxx&ver=3838

마지막으로 nt32.dll 파일을 로드 시킨다.



(참고사항)
nt32.dll은 다운로드 되는 3.exe가 생성 한 파일이다.
3.exe는 nt32.dll 이외에도 imm32.dll을 변조 시킨다. 

imm32.dll은 nt32.dll를 로드 시키는 역활을 수행하며, nt32.dll은 온라인 게임의 계정과 패스워드를 가로채는 스파이웨어이다.
다음과 같은 프로세스를 감시하며, 프로세스가 존재 시 사용자 계정 및 패스워드를 특정 서버로 전송한다.
iexplorer.exe의 경우는 pmang.com, www.netmarble.net, lineage.plaync.co.kr, hangame.com 등이며 마찬가지로
사용자의 계정과 패스워드를 특정 서버로 전송한다.


저작자표시 비영리 변경금지

'IT 보안소식' 카테고리의 다른 글

KBS1 TV, 신년특집다큐 "좀비 PC, 당신을 노린다" 를 시청 후 방송요약  (6) 2011.01.07
알약(ALYac), "알약" 글로벌 시장 진출, 충분한 경쟁력 있을 것(보안뉴스)  (0) 2011.01.06
정상 어플리케이션으로 위장 한 안드로이드 APP 발견, 일명 "GeiNiMi" 정보 기록  (2) 2011.01.02
알약 모바일(ALYacMobile), 스마트폰 백신 "알약 안드로이드" v1.1 업데이트 공지  (0) 2010.12.23
네이버 백신(Naver Vaccine), 안철수연구소 V3엔진이 탐재 된 네이버 백신은 어떤점이 변했을까?  (0) 2010.12.22

관련글

댓글

티스토리툴바