반응형
보통 사이트 변조를 통해 유포되는 파일들은 온라인게임의 계정 및 패스워드를 노리는 전형적인 온라인게임 스파이웨어였다.
하지만 이번에 발견 된 악성코드는 국내 인터넷뱅킹의 개인정보를 노리는 악성코드 여서 주의가 더 필요하다.
※ 국내 보안업체 및 보안 블로그 관련자료
변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.
hxxp://www.xxx.xx.xx/bbs/fx103/index.html (Main Malware Script)
hxxp://www.xxx.xx.xx/bbs/fx103/swfobject.js (SWF Object Script)
hxxp://www.xxx.xx.xx/bbs/fx103/jpg.js (JRE & Applet Script)
hxxp://www.xxx.xx.xx/bbs/fx103/InMFkOx6.jpg (Java Exploit CVE-2011-3544)
hxxp://www.xxx.xx.xx/bbs/fx103/xukKgQM8.jpg (Java Exploit CVE-2012-0507)
hxxp://www.xxx.xx.xx/bbs/fx103/tsCmi5.html (XML Core Services Exploit CVE-2012-1889)
hxxp://www.xxx.xx.xx/bbs/fx103/InMFkOx6.html (XML Core Services Exploit CVE-2012-1889)
hxxp://dns03.********.com/down_x.exe (KoreaBank Spyware Malware)
최종적으로 다운로드 되는 down_x.exe 파일은 SFX(자동압축해제 포멧)으로 만들어져 있다.
ServiceInstall.exe, WindowsDirectx.exe 파일은 차후 SYSTEM32 폴더에 저장되어 설치된다.
C:\WINDOWS\system32\ServiceInstall.exe (WindowsDirectx.exe 관련 서비스 레지스트리 생성, 서비스 시작)
C:\WINDOWS\system32\WindowsDirectx.exe (외부와 통신하여 추가적인 파일을 다운로드)
WindowsDirectx.exe는 특정서버(dns03.lace4989.com)에서 추가적인 5.exe 파일을 다운로드 받는다.
5.exe도 SFX(자동압축해제 포멧)으로 만들어져 있다.
(아마도 제작자가 이게 편했나 보다 ㅡ.ㅡ;;)
5.exe 파일이 실행되면, 아래의 경로에 악성파일이 생성된다.
C:\Windows\CretClient.exe (가짜 KB국민은행 인증서 프로그램)
C:\Windows\HDSetup.exe (Hosts 파일 수정)
C:\Windows\CONFIG.INI (변조 된 hosts 파일에 쓰여질 가짜 인터넷뱅킹 접속서버 IP)
C:\Windows\CONFIG.INI (변조 된 hosts 파일에 쓰여질 가짜 인터넷뱅킹 접속서버 IP)
- 가짜 KB국민은행 인증서 프로그램과 진짜 KB국민은행 인증서 프로그램의 차이
악성코드 제작자는 인증서의 정보를 가져가기 위해 이러한 노력(?)들을 하는 듯 하다.
(이제는 뭐 대놓고 통장에서 가져가겠다는 건가 ㅡ.ㅡ;; 그냥 게임머니로 만족하지!!)
최종적으로 이 파일이 하는 행위는 Hosts 파일을 변조하여, 정상 인터넷뱅킹 사이트에 접속이 아닌 변경 된 IP로 접속을 시도한다.
(분석 시 접속이 되지 않음!!)
위에서도 한번 언급했지만, 이제 짱개들이 온라인 게임의 가상머니로는 성이 안차는거 같다.
직접 뱅킹에 컨텍하려는 노력을 하는거 보니, 보안 업체에서 좀 더 빠르게 대처를 해야 할 듯 하다. 제길!!
알약에서는 해당 악성파일을 다음과 같이 탐지한다.
- Trojan.Downloader.wdx
- Spyware.PWS.KRBanker
'IT 보안소식' 카테고리의 다른 글
메이플스토리(MapleStory)런처를 가장한 사용자정보 탈취 프로그램 주의!! (9) | 2012.07.16 |
---|---|
시작페이지 변경 및 바로가기를 생성시키는 Pingbacon.exe 악성코드 주의!! (0) | 2012.07.13 |
하우리(Hauri), APT 보안솔루션 "바이로봇 APT 쉴드(ViRobot APT Shield)" 출시!! (0) | 2012.07.10 |
주말 변조사이트로 인한 "Trojan.JS.QRG(search.htm)" 주의!! (6) | 2012.06.30 |
"가짜 NH농협 인터넷뱅킹 피싱(nhkbbank.com)사이트" 를 이용한 개인정보 유출 주의 (2012-06-27) (0) | 2012.06.27 |
댓글