최근에 Adobe Flash Player 취약점 (CVE-2011-2110)을 이용한 악성코드가 유포되고 있습니다.
해당 취약점은 10.3.181.23 버전 이하 사용 시 감염이 이루어 집니다.
배포중인 사이트는 축구관련 사이트로 제로보드xe를 이용하여 제작한 웹페이지며
제로보드의 취약점을 이용하여 웹사이트 변조 후 악성스크립트를 업로드 한 것으로 확인됩니다.
메인페이지 접속 시 악성코드에 감염이 되며 현재에도 해당 취약점을 이용한 악성코드가 유포중입니다.
| - 악성코드 유포경로 hxxp://www.******mania.com/xe/modules/addon/tpl/js/tpl.js └ hxxp://markopc**.com/files/out.htm └ hxxp://markopc**.com/files/main.swf └ hxxp://www.delp**.co.kr/files/analytics.html └ hxxp://js.users.51***.la/5359042.js └ hxxp://www.51***.la/?5359042 |
위의 내용을 살표보면 해당 사이트의 tpl.js 스크립트 내부에 악성 iframe 을 추가하여 "out.htm" 파일에 포함된
"main.swf?info=" 를 호출하며 CVE-2011-2110 취약점을 이용하여 Flash Player 버전이 10.3.181.23 이하일 경우
감염이 이루어 집니다.
호출된 플래시 파일을 통해 특정 웹 사이트에서 파일을 다운로드 하도록 설정되어 있습니다.
해당 파일이 실행이 되면 윈도우 임시폴더에 svchost.exe 파일을 생성하고 cmd.exe 명령을 이용하여
_Taskkill_Name_.bat 파일을 실행하여 explorer.exe 프로세스를 죽이고 다시 생성하여 cmd.exe 프로세스의
자식 프로세스로 등록합니다. 해당 작업이 끝나면 _Delete_Me_.bat 를 실행하여 생성파일과 자신을 삭제합니다.
또, 윈도우 시스템 관련 파일인 xpsp2res.dll 을 Windows 디렉토리에 생성을 하여 explorer.exe 프로세스에
삽입이 됩니다.
| - 생성파일 1. C:\Windows\xpsp2res.dll |
위의 파일이 악성파일이며 아래의 정상적인 파일과 중복되어 사용되고 있습니다.
정상적인 파일의 위치는 c:\Windows\system32\ 디렉토리 안에 있으나
악성파일은 c:\Windows\ 디렉토리에 생성이 됩니다.
xpsp2res.dll 의 내용을 살펴보면 특정 사이트로 컴퓨터이름과 사용자계정 그리고 IP를 전달합니다.
해당 취약점은 보안제품인 카스퍼스케에서는 Exploit.SWF.CVE-2011-2110.a 진단명으로 진단하고 있습니다.
- 복구방법
1. 관련 프로세스를 종료 (cmd.exe explorer.exe)를 종료
2. c:\Windows\xpsp2res.dll 파일 삭제 후 재부팅
해당 취약점을 악용한 사례가 지속적으로 발생하고 있으며 감염을 예방하기 위해서는 해당 취약점을 보완한
최신 버전으로 업데이트 하는 것이 중요합니다.
Adobe Flash Player 최신버전 업데이트
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점 (0) | 2011.09.23 |
|---|---|
| U+202E(RTLO) 유니코드를 이용한 확장자 변조 취약점 악성파일 유포 주의 (2) | 2011.09.15 |
| [악성코드분석] 검색도우미 :: GuiedOn (0) | 2011.08.12 |
| [악성코드분석] 검색닷컴_DirectKeyword2.exe (0) | 2011.08.05 |
| [악성코드분석] 변조된 사이트 접속시 악성코드 감염주의 (0) | 2011.08.04 |