본문 바로가기
IT 보안소식

[정상파일변조] 변조된 사이트를 이용한 정상파일(midimap.dll)을 수정하는 악성파일 주의!!

by 잡다한 처리 2011. 4. 18.
반응형



지난 주말에 변조 된 웹사이트를 통해 특정 정상파일을 변경시키는 악성코드가 발견되었다.
삭제 시 부팅에 문제는 없지만^^ 소리가 안 들릴 수 있으니 주의하기 바란다.

<정상파일 정보>
파일명 : midimap(Microsoft MIDI Mapper)
파일위치 : C:\Windows\system32

8345C1412D18C10714B8945086B29BC8,18944(XP SP2) - 5.1.2600.2180 
7DF7F264CB80F5F3F380D6A7B1E971C0,18944(XP SP3) - 5.1.2600.5512

문제가 발생 된 홈페이지는 아래의 페이지로써 아직까지 배포가 진행중이라 중간중간 URL을 수정하였다.
(ㅠ.ㅠ 내 스퇄아님!!)

hxxp://joy****.co.kr
hxxp://joy****.co.kr/js/ajax.js
hxxp://174.128.***.62/ad.js
hxxp://174.128.***.62/ad.html
hxxp://174.128.***.62/ad.htm
hxxp://174.128.***.62/nb.swf
hxxp://174.128.***.34/ad.exe

CVE-2011-0609 취약점으로 인하여 사용자PC에 다운로드 및 실행되며, 실행 순서와 생성 파일은 
다음과 같다.

- 파일 정보
C:\WINDOWS\system32\midimap.dll (악성파일)
C:\WINDOWS\system32\midimap32.dll (악성파일이 백업용으로 수정 해 둔 정상 midimap.dll)
C:\WINDOWS\system32\2011418130727.dll (사용자의 감염 시간을 체크하기 위한 파일명으로 추정)
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\delself.bat (실행 된 ad.exe를 삭제하기 위한 bat파일)

변경 된 midimap.dll 파일은 다음사이트 및 프로세스에 대해 후킹하여 사용자 계정 및 암호를 가로챈다.

nexon.com

ndoors.com

pmang.com

df.nexon.com

FF2Client.exe

Lin.bin

IEXPLORE.EXE

mapleotp

dfotp



- 실행순서
1) 파일생성
ad.exe 파일의 리소스(Resource)에서 midimap.dll을 %TEMP%폴더에 생성한다.

2) 파일수정
특정 문자열을 %TEMP%폴더에 생성 한 midimap.dll에 추가한다.(사용용도는 분석 중)
"1195CDF7D3A0C00CFD8517740F ~[중간생략]~ DD3833E5584B41D77B20"

3) 레지스트리 수정
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 
"TabProcGrowth" = "0" 

TabProcGrowth값을 0으로 셋팅되면 인터넷익스플로러 탭을 다수로 생성해도 IE 8의 경우 LCIE 동작없이 하나의 프로세스만 생성된다.



4) WFP(Windows File Protect) 보호모드 해제

Sfc_os.dll의 Ordinal 5에 존재하는 unnamed API(SfcFileException)를 사용하여 보호모드를 해제한다.

WFP 보호모드 해제 대상파일은 C:\Windows\System32폴더에 존재하는 midimap.dll 파일이다.


5) midimap.dll 파일 수정

1. 정상파일 C:\WINDOWS\system32\midimap.dll -> C:\WINDOWS\system32\midimap32.dll 로 

복사

2. 정상파일 C:\WINDOWS\system32\midimap.dll -> C:\WINDOWS\system32\2011418143012

(감염날짜시간).dll 로 이동

3. %TEMP%폴더에서 midimap.dll -> C:\WINDOWS\system32 폴더로 복사
4. %TEMP%폴더에 있던 midimap.dll 파일삭제 


악성파일이 실행 된 후 C:\WINDOWS\system32 폴더에는 다음과 같이 파일이 생성된다.


악성파일은 재부팅 시 midimapl.dll(악성파일)과 midimap32.dll(정상파일)이 공존하는 재미있는 상태가 된다.



또한 정상파일의 역할을 못하는 midimap.dll(악성파일) 파일은 EAT(ExportAddressTable)을 이용하여
midimap32.dll 파일의 함수들을 Forward 시켜 정상파일의 역할을 수행하게 된다.




알약에서는 해당 파일을 다음과 같이 탐지한다.
ad.exe(V.DRP.OnlineGame.mi32), midimapl.dll(S.SPY.OnlineGames.mi32)



댓글