[사이트 변조] 다이하드 웹하드(http://www.diyhard.co.kr) "Java Exploit CVE-2012-5076"를 이용한 악성코드 유포!!

웹하드 서비스를 하는 사이트 중 "다이하드"라는 사이트가 변조되어 악성코드가 유포되고 있다.

사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 Java Exploit CVE-2012-5076 파일이
국내 유포사이트에 확인 된 것이 처음이기 때문이다.

0-Day가 아니라, 취약점이 패치 된 Exploit 이기 때문에 Oracle Java 업데이트 하면 문제없다!!
업데이트에 대한 내용은 아래 링크에서 확인 할 수 있다.

• [울지않는 벌새] 업데이트 : Oracle Java SE Runtime Environment 6 Update 37 & 7 Update 9

다이하드 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 

hxxp://www.woshi*******n.com/main.html (Main Malware Script)

hxxp://www.woshi*******n.com/swfobject.js (SWF Object Script)

hxxp://www.woshi*******n.com/jpg.js (JRE & Applet Script)

hxxp://www.woshi*******n.com/tzfodg4.jpg (Java Exploit CVE-2011-3544)

hxxp://www.woshi*******n.com/moFIx5.jpg (Java Exploit CVE-2012-0507)

hxxp://www.woshi*******n.com/hXbmFf4.jpg (Java Exploit CVE-2012-1723)

hxxp://www.woshi*******n.com/JhLIp2.jpg (Java Exploit CVE-2012-4681)

hxxp://www.woshi*******n.com/gTJePXG4.jpg (Java Exploit CVE-2012-5076)

hxxp://www.woshi*******en.com/c.exe (Backdoor Malware)

hxxp://www.woshi*******n.com/eKJqGMa4.swf 

hxxp://www.woshi*******n.com/yEQngll5.html (XML Core Services Exploit CVE-2012-1889)

hxxp://www.woshi*******n.com/tzfodg4.html (XML Core Services Exploit CVE-2012-1889)

Java Exploit CVE-2012-5076 가 실행되는 조건코드이다.
조건에 따라 c.exe 가 다운로드 된다.

취약점이 있는 PC에서는 해당 악성스크립트가 동작 시 특정서버에서 파일이 다운로드 된다.
다운로드 된 파일은 백도어 파일로써 특정 서버로 접속 하여 오퍼 명령에 따라 악성행위를 할 수 있다. 
(특히, 이번 파일은 씨타델(Citadel Exploit Kit) 로 작성되어 있는 것으로 확인된다.) 

- 파일 생성 정보
C:\Program Files\Common Files\Microsoft Shared\MSINFO\QQMin.exe

- 레지스트리 생성 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinQvod

- 접속 서버 정보
hxxp://www.woshi*******en.com (112.175.100.194:8010)

hxxp://www.woshi*******n.com (112.175.100.194:8010)

(※ 현재 완벽한 분석정보가 아니기 때문에, 다른 기능들이 있을 수 있음) 

알약에서는 해당 파일을 "Mal/JavaKnE-H, Trojan.Agent.700416" 로 탐지 중이다.