세상에서 가장 안전한 이름, 안랩

안녕하세요. 안랩인입니다. 매 주말마다 악성코드의 경유지로 악용되고 있는 웹사이트 중 한 곳을 살펴봤습니다. 이번에 살펴본 취약한 웹사이트는 "낚시포털"이라는 타이틀로 운영중인 사이트입니다. 해당 사이트에 삽입된 스크립트를 통하여 악성코드 유포지로 연결됩니다.  

[그림] 낚시 포털 웹 사이트

삽입된 스크립트는 순차적으로 또 다른 스크립트로 이동합니다.  

[그림] 최초 스크립트가 삽입된 구문 1

[그림] 스크립트 이동 경로 2

[그림] 스크립트 이동 경로 3

웹사이트에서 유포중인 스크립트는 CVE-2010-0806 취약점을 이용하여, 사용자에게 악성코드를 감염 시킵니다. 물론, 취약점이 패치된 시스템은 감염되지 않습니다.
최종적으로 유포되는 악성코드 경로와 파일명은 아래와 같습니다.  

[그림] 유포지와 악성 파일

[그림] 파일 정보

악성코드에 감염되면, OS에따라 생성되는 파일이 다릅니다. XP의 경우, 윈도우 정상 파일인 ws2help.dll 파일이 변조되며, 원본파일은 ws2helpXP.dll 로 백업합니다. indows 7 의 경우에는 C:\Windows\System32\HIMYM.dll 파일을 생성합니다. 해당 악성코드는, 사용자의 온라인게임 계정 탈취를 목적으로 제작되었습니다.
 
* 더 자세한 내용은 ASEC홈페이지를 참고하세요.