해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 커뮤니티, 웹하드 사이트 라는것만...) 를 통해
설치되었으며, 루트킷 파일을 통해 자신의 파일을 숨기며 감염PC에 개인정보를 유출하게 된다.
변조 된 사이트에 접속하면 오라클 자바 취약점(CVE-2011-3544)에 의해 악성파일이 다운로드 되어 실행된다.
- 생성 파일
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\ddd.exe - Trojan.Dropper.OnlineGames.au32
C:\WINDOWS\setupball.bmp - Spyware.OnlineGames.au32
C:\WINDOWS\olesau32.dll - Spyware.OnlineGames.au32
C:\WINDOWS\version.dat - 설치 된 악성파일 버전정보
C:\WINDOWS\winurl.dat - 사용자 정보를 전달 할 서버의 On/Off 유무
C:\WINDOWS\system32\olesau32.dll - Spyware.OnlineGames.au32
C:\WINDOWS\system32\drivers\ahnurl.sys - Trojan.Rootkit.LoaderA
※ 해당 탐지명은 알약 공개용 2.0 기준이며 ddd.exe와 setupball.bmp는 자가 삭제된다.
- 생성 레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl
- Dll 인젝션
현재 동작중인 감염PC에 C:\WINDOWS\system32\conime.exe 프로세스를 찾아서 없으면 새롭게 생성시킨 후
생성 한 악성 olesau32.dll 파일을 인젝션 시킨다.
- SSDT 후킹
ZwEnumerateKey (레지스트리 검색 보호)
ZwEnumerateValueKey (레지스트리 변경 보호)
ZwQueryDirectoryFile (파일 보호)
- 보안프로그램 종료
AYUpdSrv.aye
AYRTSrv.aye
AYAgent.aye
AYServiceNT.aye
ALYac.aye
NVCUpgrader.exe
NaverAgent.exe
NVCAgent.exe
Nsvmon.npc
Nsavsvc.npc
Nsavsvc.exe
Nsvmon.exe
NVCAgent.npc
- 사용자정보 유출
IEXPLORE.EXE 이며, 아래의 URL일 경우 사용자정보 전송
(tera.hangame.com, hangame.com, poker.hangame.com, pmang.com , lineage.plaync.co.kr, netmarble.net, df.nexon.com)
PMangAgent.exe, dnf.exe
이번 파일에서 가장 중요했던 부분은 주말에 유포 된 파일인데도 정상파일 변조가 이루어지지 않았다.
뭔가 다른 시도를 하는 듯 한데... 주의깊게 지켜봐야 할 것 같다!!
또한 생성 된 olesau32.dll 파일을 로드시키는 부분이 없는데, ahnurl.sys에서 로드시키는 것으로 보이나 좀 더 분석을 해봐야겠다.
오늘은 이만 자야겠다..내일부터 이사준비라 ㅠㅠ
※ 수동 조치 방법
1. 안전모드 진입
- 안전모드 진입을 모르시는 분은 아래의 링크를 클릭하여 부팅하시면 된다.
2. 보안 프로그램 검사 또는 수동 삭제
- 파일삭제
C:\WINDOWS\olesau32.dll
C:\WINDOWS\version.dat
C:\WINDOWS\winurl.dat
C:\WINDOWS\system32\olesau32.dll
C:\WINDOWS\system32\drivers\ahnurl.sys
- 레지스트리 삭제
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl
3. 재부팅 후 다시 보안 프로그램 검사
'IT 보안소식' 카테고리의 다른 글
구글 크롬(Google Chrome), 18.0.1025.142 업데이트!! (0) | 2012.03.29 |
---|---|
"가짜 KB국민은행 피싱사이트" 를 이용한 개인정보 유출 주의 (2) | 2012.03.21 |
[MS12-020 RDP Exploit] 원격 데스크탑 프로토콜(RDP) 취약점을 이용한 Exploit 주의!! (1) | 2012.03.16 |
안드로이드 OS 4.0, 안드로이드 4.0 아이스크림 샌드위치(IceCream Sandwich) 업데이트 안내 (0) | 2012.03.13 |
구글 크롬(Google Chrome), 17.0.963.65 업데이트!! (4) | 2012.03.05 |
댓글