| 19일 카스퍼스키 제품에서 Trojan.Scrip.Iframer 이라는 진단명으로 다수의 컴퓨터에서 감염이 발생되어 확인한 결과 네이버 접속 시 특정 광고를 통하여 감염이 이루어지는 것을 확인하였습니다. 해당 광고가 노출되면 아래와 같은 악성스크립트가 실행이 되어집니다. |
| AdobeFlashPlayer 취약점을 통하여 감염이 되며 최종 AGS.gif 파일을 다운로드 하여 악성파일을 생성하게 됩니다. AGS.gif 파일은 이미지 파일로 위장하고 있습니다. |
| URL 정보 |
|
|
| hxxp://wap.hell***op.info/a18/my.html?cdkey └ hxxp://wap.hell***op.info/a18/new.html?劤壙젬꺄1119 └ hxxp://wap.hell***op.info/a18/Birthday.swf └ hxxp://wap.hell***op.info/a18/fun.htm?莖폭渡괩1119 └ hxxp://121.78.***.175/Ags/AGS.gif - 최종파일 hxxp://wap.hell***op.info/a18/e.avi |
| 생성파일 정보 |
| C:\WINDOWS\system32\ws2help.dll - 악성파일 C:\WINDOWS\system32\ws2help.dll.(영문+숫자3자리랜덤).tmp C:\WINDOWS\system32\ws2helpXP.dll - 원본파일 |
| 감염이 되면 원본파일인 ws2help.dll 파일을 다른 이름으로 변경하며 자신이 원본파일인 것처럼 위장하고 있습니다. 또한 iexplorer.exe 프로세스에 로드되어 온라인게임 사이트 및 문화상품권 사이트의 계정을 유출합니다. |
| iexplorer.exe 에 ws2helpXP.dll 도 같이 로드되어 있으며 아마도 원래의 ws2help.dll 역할을 ws2helpXP.dll 이 처리를 하고 있는 것으로 생각됩니다. |
| 계정유출 관련 사이트 |
|
1. 온라인게임 |
| 위의 사이트에 로그인을 시도하면 특정 사이트로 계정이 유출되는 것을 확인 할 수 있습니다. |
| 제거 방법 |
| 악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다. 안철수연구소 전용백신 하우리 전용백신 |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 시스템 파일 변조를 통한 온라인 게임 계정유출 악성코드 (0) | 2012.01.02 |
|---|---|
| [악성코드분석] 검색도우미 :: Onbar (2) | 2011.12.05 |
| [악성코드분석] 검색도우미 :: truepod (0) | 2011.11.21 |
| [악성코드분석] 검색도우미 :: SponsorMatch (0) | 2011.10.31 |
| [악성코드분석] 스마트보안 :: SmartBoan (0) | 2011.10.28 |