태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009. 5. 23. 15:31


만화 관련 사이트의 메인 페이지에 악성 스크립트가 포함되어 신종 트로이목마가 유포 중에 있다.

사용자 삽입 이미지

악성 스크립트는 3가지로 구분되어 있다.

처음 작동되는 스크립트는 웹 페이지 접속 시 정상적으로 서비스되지 않는 것처럼 보이도록 다음과 같은 내용을 보이도록 구성되어 있다.

<script type="text/jscript">
function init() {
document.write("No web site is configured at this address");

}
window.onload = init;
</script>

No web site is configured at this address

그 다음 작동되는 두 개의 자바스크립트는 실제로 하나의 연결 코드이지만 Function aa(str,n) 을 개별적으로 연동되도록 만들어 두었기 때문에 코드를 하나로 보고 Decode 해야 한다.

사용자 삽입 이미지

Exploit 코드를 디코딩하면 MS06-014 취약점을 통해서 H.exe 파일을 설치 시도하는 것을 확인할 수 있다.

사용자 삽입 이미지


H.exe 파일이 실행되면 다음과 같은 파일이 생성된다.

C:\Windows\System32\afmain0.dll
C:\Windows\AhnRpta.exe - 정상 메모장(notepad.exe) 파일

afmain0.dll 파일은 국내외 유명 보안제품의 정상 작동을 방해한다.

다음과 같은 웹 사이트로 접속을 시도한다.

http://kaga(생략).co.kr/avi/1.txt
http://kaga(생략).co.kr/avi/1.rar

1.rar 파일은 암호화된 가짜 rar 파일이며, 사용자 컴퓨터에는 1.exe 라는 파일로 다운로드된다.

1.exe 파일이 실행되면 다음과 같은 파일이 생성된다.

C:\Windows\System32\zhido.exe
C:\Windows\System32\cao110.dll
C:\Windows\System32\cao220.dll

cao110.dll 파일은 maplestory.exe, winbaram.exe 등의 프로세스를 사용자의 정보 유출을 시도한다.

Posted by viruslab

댓글을 달아 주세요