[º¸¾È´º½º ±Ç ÁØ] ±¹³»¿¡¼ ¾Ë·ÁÁø ÇÑ±Û ¼ÒÇÁÆ®¿þ¾îÀÇ Ãë¾àÁ¡À» ¾Ç¿ëÇÏ¿© ¾Ç¼ºÄÚµå °¨¿°À» ½ÃµµÇÑ »ç·Ê°¡ 26ÀÏ ¶Ç ´Ù½Ã ¹ß°ßµÆ´Ù°í ¾È·¦ ½ÃÅ¥¸®Æ¼¼¾ÅÍ(ASEC) ÃøÀº ¹àÇû´Ù.
ASEC¿¡¼´Â Áö³ 6¿ù 15ÀÏ Çѱ۰ú ÄÄÇ»ÅÍ¿¡¼ °³¹ßÇÑ ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î¿¡ Á¸ÀçÇÏ´Â ÄÚµå ½ÇÇà Ãë¾àÁ¡À» ¾Ç¿ëÇÑ ¾Ç¼ºÄÚµå À¯Æ÷ »ç·Ê°¡ ¹ß°ßµÆ´Ù°í °ø°³ÇÑ ¹Ù ÀÖ´Ù.
ÇöÀç ÇØ´ç ÄÚµå ½ÇÇà Ãë¾àÁ¡¿¡ ´ëÇؼ´Â Çѱ۰ú ÄÄÇ»ÅÍ¿¡¼ Áö³ 6¿ù 22ÀÏ ÇØ´ç Ãë¾àÁ¡À» Á¦°ÅÇÒ ¼ö ÀÖ´Â º¸¾È ÆÐÄ¡¸¦ °ø°³ÇÏ¿©, ÇØ´ç Ãë¾àÁ¡À» ¾Ç¿ëÇÑ ¾Ç¼ºÄÚµå °¨¿° ½Ãµµ¿¡ ´ëÇؼ´Â ¿øõÀûÀÎ Â÷´ÜÀÌ °¡´ÉÇÏ´Ù.
À̹ø¿¡ À¯Æ÷µÈ Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀº ±¹³» ƯÁ¤ Á¶Á÷µéÀ» ´ë»óÀ¸·Î ¹ß¼ÛµÈ À̸ÞÀÏÀÇ Ã·ºÎ ÆÄÀÏ ÇüÅ·ΠÀ¯Æ÷µÆÀ¸¸ç, ÷ºÎµÈ Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀ» ¿°Ô µÇ¸é ¾Æ·¡ À̹ÌÁö¿Í °°Àº ³»¿ëÀÌ º¸¿©Áø´Ù.
ÇØ´ç Ãë¾àÇÑ ÆÄÀÏÀº ¾Æ·¡ À̹ÌÁö¿Í °°Àº ±¸Á¶·Î µÇ¾î ÀÖÀ¸¸ç, 6¿ù 15ÀÏ ¹ß°ßµÈ ÄÚµå ½ÇÇà Ãë¾àÁ¡À» ÀÀ¿ëÇÑ ÇüÅ°¡ ¾Æ´Ï¶ó ÀÌ¹Ì º¸¾È ÆÐÄ¡°¡ Á¦°øµÇ¾î ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù.
À̹ø¿¡ ¹ß°ßµÈ ÇØ´ç Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀº HncTextArt_hplg¿¡ Á¸ÀçÇÏ´Â ½ºÅÃ(Stack)ÀÇ °æ°è¸¦ üũÇÏÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â ¹öÆÛ ¿À¹öÇ÷οì(Buffer Overflow) Ãë¾àÁ¡À̸ç, ÇØ´ç Ãë¾àÁ¡Àº 2010³âºÎÅÍ Áö¼ÓÀûÀ¸·Î ¾Ç¿ëµÇ¾î ¿Ô´ø ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡µé Áß ÇϳªÀÌ´Ù.
ÇØ´ç Ãë¾àÁ¡ÀÌ Á¸ÀçÇÏ´Â ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇÏ´Â ½Ã½ºÅÛ¿¡¼ 26ÀÏ À¯Æ÷µÈ Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀ» ¿°Ô µÇ¸é »ç¿ëÀÚ °èÁ¤ÀÇ Àӽà Æú´õ¿¡ scvhost.exe(138,752 ¹ÙÀÌÆ®) ÆÄÀÏÀ» »ý¼ºÇÏ°Ô µÈ´Ù.
c:\documents and settings\[»ç¿ëÀÚ °èÁ¤¸í]\local settings\temp\scvhost.exe (138,752 ¹ÙÀÌÆ®)
»ý¼ºµÈ scvhost.exe(138,752¹ÙÀÌÆ®) ÆÄÀÏÀÌ ½ÇÇàµÇ¸é À©µµ¿ì Æú´õ(c:\windows) Æú´õ¿¡ wdmaud.drv (78,848¹ÙÀÌÆ®)¿Í wdmaud.dat(78,848¹ÙÀÌÆ®)¸¦ »ý¼ºÇÏ°Ô µÈ´Ù.
C:\WINDOWS\wdmaud.drv (78,848 ¹ÙÀÌÆ®)
C:\WINDOWS\wdmaud.dat (78,848 ¹ÙÀÌÆ®)
wdmaud.dat(78,848¹ÙÀÌÆ®)´Â ÀÎÄÚµùµÇ¾î ÀÖ´Â ÆÄÀÏ·Î ÇØ´ç ÆÄÀÏÀ» µðÄÚµùÇÏ°Ô µÇ¸é ½ÇÇà °¡´ÉÇÑ PE ÆÄÀÏÀÌ wdmaud.drv(78,848¹ÙÀÌÆ®)ÀÌ »ý¼ºµÈ´Ù.
wdmaud.dat(78,848¹ÙÀÌÆ®)ÀÇ µðÄÚµù ÀÛ¾÷ÀÌ ¿Ï·áµÇ¾î wdmaud.drv(78,848¹ÙÀÌÆ®)°¡ »ý¼ºµÇ¸é ÇØ´ç scvhost.exe(138,752¹ÙÀÌÆ®)¿¡ ÀÇÇØ ÇØ´ç ÆÄÀÏÀº »èÁ¦µÈ´Ù.
±×¸®°í »ý¼ºµÈ wdmaud.drv (78,848 ¹ÙÀÌÆ®)´Â °¨¿°µÈ ½Ã½ºÅÛ¿¡¼ ´ÙÀ½ÀÇ Á¤º¸µéÀ» ¼öÁýÇÏ¿© ¿ÜºÎ·Î Àü¼ÛÀ» ½ÃµµÇÏ°Ô µÇ³ª ºÐ¼® ´ç½Ã¿¡´Â Á¤»óÀûÀ¸·Î Á¢¼ÓÀÌ µÇÁö ¾Ê¾Ò´Ù°í ASEC ÃøÀº ¹àÇû´Ù.
- Çϵå¿þ¾î Á¤º¸
- À©µµ¿ì ¿î¿µÃ¼Á¦ Á¤º¸
- ·Î±×ÀÎ »ç¿ëÀÚ Á¤º¸
- ÆÄÀÏ ¾÷·Îµå ¹× ´Ù¿î·Îµå
- °¨¿°µÈ ½Ã½ºÅÛÀÇ IP ÁÖ¼Ò ¹× ÇÁ·Ï½Ã(Proxy) ¼¹ö ÁÖ¼Ò
26ÀÏ ¹ß°ßµÈ ±âÁ¸¿¡ ¾Ë·ÁÁø ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡À» ¾Ç¿ëÇÑ ¾Ç¼ºÄÚµåµéÀº V3 Á¦Ç°±º¿¡¼ ´ÙÀ½°ú °°ÀÌ Áø´ÜÇÑ´Ù.
HWP/Agent
Win-Trojan/Npkon.138752
Trojan/Win32.Dllbot
APT Àü¹® ´ëÀÀ ¼Ö·ç¼ÇÀÎ Æ®·¯½º¿ÍÃÄ(TrusWatcher)¿¡ Æ÷ÇÔµÈ DICA(Dynamic Intelligent Content Analysis)¿¡ ÀÇÇØ ½Ã±×´Ïó ¾øÀÌ ¾Æ·¡¿Í °°ÀÌ Å½Áö°¡ °¡´ÉÇÏ´Ù.
Exploit/HWP.AccessViolation-DE
ÇâÈÄ Ãâ½Ã ¿¹Á¤ÀÎ V3 ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼(Internet Security) 9.0¿¡ Æ÷ÇÔ ¿¹Á¤ÀÎ ASD 2.0ÀÇ MDP ¿£Áø¿¡¼µµ ½Ã±×´Ïó ¾øÀÌ ´ÙÀ½°ú °°ÀÌ Å½Áö°¡ °¡´ÉÇÏ´Ù.
Dropper/MDP.Document(57)
26ÀÏ À¯Æ÷µÈ Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀº ÀÌ¹Ì Çѱ۰ú ÄÄÇ»ÅÍ¿¡¼ º¸¾È ÆÐÄ¡¸¦ ¹èÆ÷ ÁßÀÎ »óÅÂÀÌ´Ù. ±×·¯¹Ç·Î ÇØ´ç º¸¾È ÆÐÄ¡¸¦ ¼³Ä¡ÇÏ´Â °ÍÀÌ ¾Ç¼ºÄÚµå °¨¿°À» ±Ùº»ÀûÀ¸·Î Â÷´ÜÇÏ´Â ¹æ¾ÈÀ̶ó°í ASEC ÃøÀº ¹àÇû´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>