매주 주말만 되면 악성 스크립트가 삽입되는 국내 사이트들....!!
이번 주에 특히 Trojan.JS.QRG(search.htm) 탐지명에 대한 내용이 많이 확인되고 있어 인터넷 사용에 주의가 필요하다.
해당 스크립트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.
hxxp://svc.*********.co.kr/css/search.html (Main Malware Script)
hxxp://svc.*********.co.kr/css/swfobject.js (SWF Object Script)
hxxp://svc.*********.co.kr/css/jpg.js (JRE & Applet Script)
hxxp://svc.*********.co.kr/css/ObMV0.jpg (Java Exploit CVE-2011-3544)
hxxp://svc.*********.co.kr/css/KfzEv6.jpg (Java Exploit CVE-2012-0507)
hxxp://svc.*********.co.kr/css/qaWHeUM8.html (XML Core Services Exploit CVE-2012-1889 : ZeroDay)
hxxp://svc.*********.co.kr/css/ObMV0.html (XML Core Services Exploit CVE-2012-1889 : ZeroDay)
hxxp://uni*********.co.kr/css/m71.exe (OnlineGames Spyware Malware)
특히 제로데이로 알려진 XML Core Services Exploit(CVE-2012-1889) 같은 경우는 아직 패치가 나오지 않아
더욱 위험하다.
사용자 PC에 취약점이 확인되면,
C:\WINDOWS\system32\WinSocketA.dll 파일이 생성되며, LSP(Layered Service Provider) 를 수정하여
감염자 PC가 재부팅 시 자동실행된다.
WinSocketA.dll 은 온라인게임 스파이웨어로 아래와 같은 행위를 한다.
- 보안 프로그램 종료
AYAgent.aye
AYUpdSrv.aye
AYServiceNT.aye
AYRTSrv.aye
ALYac.aye
SystemMon.exe
SkyMon.exe
nsvmon.npc
nvc.npc
nvcagent.npc
Nsavsvc.npc
V3LTray.exe
V3LSvc.exe
V3Light.exe
SgSvc.exe
InjectWinSockServiceV3.exe
dnf.exe
MapleStory.exe
lin.bin
ff2client.exe
heroes.exe
ExLauncher.exe
TERA.exe
OTP.exe
AION.bin
wow.exe
aosrts.exe
aosbackv.exe
procscan
fairyclient.exe
aostray.exe
Diablo III.exe
자세한 정보는 차후에^^;
'IT 보안소식' 카테고리의 다른 글
| 사이트 변조를 통해 "국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!! (0) | 2012.07.12 |
|---|---|
| 하우리(Hauri), APT 보안솔루션 "바이로봇 APT 쉴드(ViRobot APT Shield)" 출시!! (0) | 2012.07.10 |
| "가짜 NH농협 인터넷뱅킹 피싱(nhkbbank.com)사이트" 를 이용한 개인정보 유출 주의 (2012-06-27) (0) | 2012.06.27 |
| 구글 크롬(Google Chrome), 20.0.1132.43 업데이트!! (0) | 2012.06.27 |
| 알툴즈(altools), 개인정보를 위한 가입 된 주민등록번호 삭제 방법 (0) | 2012.06.26 |
댓글