태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2014.02.25 14:17


판도라TV 업데이트 파일을 악성으로 교체한 녀석과 동일한 놈이 만든 것이다.

국내 기업들은 프로그램 업데이트시 무결성 기능 강화가 요구된다.


http://viruslab.tistory.com/2926

http://viruslab.tistory.com/2942

http://viruslab.tistory.com/3032

https://www.virustotal.com/ko/file/c675dc7fcb2dd80f9afa13fbca9a689f341a0ce6b87c2db98580ed92c593befb/analysis/1393304556/

http://www.krcert.or.kr/kor/data/analNoticeView.jsp?p_bulletin_writing_sequence=20586#none

안랩 핵실드로 위장한 악성파일도 판도라TV 때와 동일하게 유효한 디지털 서명을 보유하고 있다. 위메이드 WGLAuncher.exe 파일에 의해서 업데이터가 악성으로 교체!












10분경마다 악성파일 유포지로 연결시도하고, panmenu.jpg 파일명이다.

C&C
http://fcst.co.kr/board/data/qna/mgame.php

http://www.scentkorea.com/bbs2/panmenu.jpg
http://www.srsr.co.kr/bbs2/data/panmenu.jpg
http://snsdate.gndot.com/panmenu.jpg
http://funzone.co.kr/bbs_back/data/7zone/panmenu.jpg
http://www.v3lite.com/panmenu.jpg
http://www.nate.com/panmenu.jpg
http://www.msn.com/panmenu.jpg
http://www.hangame.com/panmenu.jpg
http://fcst.co.kr/board/data/media/panmenu.jpg
http://www.joinsmsn.com/panmenu.jpg
http://m.ahnlab.com/panmenu.jpg
http://m.ahnlab.com/0048253/panmenu.jpg
http://www.tistory.com/start/panmenu.jpg
http://www.nexon.com/panmenu.jpg
http://user.nexon.com/panmenu.jpg
http://www.netmarble.net/panmenu.jpg 
등등

파일이 연결되면 윈도우 폴더에 image.jpg 이름으로 악성파일을 다운로드하고 로드한다.

  




http://gemfighter-patch.gscdn.com/HShield_Beta/x86/afs.dat
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/noupdate.ui
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/ahn.ui
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/ahn.ui
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/ahni2.dll

http://gemfighter-patch.gscdn.com/HShield_Beta/x86/ahnupctl.dll
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/autoup.exe
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/v3bz32.dll

http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/hs_heuristic/3n.mh-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/hs_heuristic/hei.ms-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/asc_com.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/asc_dh.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/asc_fse.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/asc_intg.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/asc_mmgr.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/asc_unp.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/fse_base.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/fse_fact.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/fse_pe.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/gfs_base.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/gfs_fact.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/gfs_file.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/gfs_mem.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/gfs_os.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/gfs_proc.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_echo_hs_all/gfs_util.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_sign_all/0asc.sc-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_sign_all/0sccure.sc-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_sign_all/0sgame.sc-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_sign_all/0spe3f.sc-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_sign_all/moduler.sc-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/win/e/b/b_sign_all/option.sc-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/hs_common/ahnrpt.in-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/hs_common/bldinfo.in-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/hs_dflt_all/ehsvc.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/hs_dflt_all/hshield.da-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/hs_all/ahnrpt.ex-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/hs_all/brinicle.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/hs_all/hslogmgr.ex-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/update/ahnupctl.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/update/ahnupgs.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/update/hsinst.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/update/hsupdate.ex-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/update/v3hunt.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/update/v3inetgs.dl-
http://gemfighter-patch.gscdn.com/HShield_Beta/x86/patch/39/asc_main_all/asc_main.dl-



핵쉴드 업데이트로 위장한 악성파일은 2014년 2월 17일 오후 4시 30분에 서명이 빌드되었고, 2월 18일 오전 8시 30분경 HSUpdate.exe가 빌드되었다.

위메이드 서버에서 악성파일이 확인된 시점은 2월 18일 오후 5시 경이다.

공격자는 17일에 위메이드 런처와 업데이트 파일을 교체해서 테스트 작업을 했던 것으로 보이고 그때 일부 게임이용자들 사이에 업데이트 오류가 있었다.

일부 게이머들 사이에 업데이트 오류로 위메이드 게임마스터(GM)에게 문의를 하기도 했었다.

네이버 지식인에 글이 올라온 시점은 2월 17일 오후 8시 50분 경이다.

위메이드 공지를 보면 알겠지만 핵쉴드 서비스 업데이트 오류와 핵쉴드 기능이상 오류 발생 메시지가 다른 것을 알 수 있다. 위메이드 공지가 올라온 시점은 2월 20일이다.

http://kin.naver.com/qna/detail.nhn?d1id=13&dirId=13020401&docId=191440402&qb=7KCs7YyM7J207YSwIO2VtO2CuQ==&enc=utf8§ion=kin&rank=3&search_sort=0&spq=1&pid=Rw02%2BwpySEsssagkfKZsssssssK-208248&sid=Uw02@wpyVmAAAFTbHD4


http://gf.wemade.com/news/news_notice_view.asp?p=3da3a7d3&s=3d9906903da3a7d33d9906903dc38b9c3dee10a83da3a7d3&f=3db8ea593df8b1eb3dd8ce223da3a7d3






핵쉴드 폴더를 삭제하더라도 추가로 생성된 악성파일이 존재하기 때문에 반드시 Anti-Malware 제품으로 검사/치료해야 한다.


 
열심히 가상화폐 채굴..

 


2월 4일에는 위메이드 디지털 서명이 악성파일에 악용된 사례도 최초 공개한 바 있다.

http://viruslab.tistory.com/2904 

http://viruslab.tistory.com/3021
 

저작자 표시 동일 조건 변경 허락
신고
Posted by viruslab

티스토리 툴바