º¸¾È ÆÐÄ¡ ¼³Ä¡ÇÏ°í ¾Ç¼ºÄÚµå °¨¿° ±Ùº»Àû Â÷´ÜÇؾß
[º¸¾È´º½º ±èÅÂÇü] ¾È·¦ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ASEC)´Â ¿À´Ã À̸ÞÀÏÀ» ÅëÇØ À¯Æ÷µÇ´Â ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î¿¡ ¾Ë·ÁÁø Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ÇÑ±Û ÆÄÀÏÀÌ ¹ß°ßµÇ¾î ÁÖÀǸ¦ ´çºÎÇß´Ù.
¾È·¦ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ASEC)¿¡¼´Â Çѱ۰ú ÄÄÇ»ÅÍ¿¡¼ °³¹ßÇÏ´Â ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î¿¡ Á¸ÀçÇÏ´Â ÄÚµå ½ÇÇà Á¦·Î µ¥ÀÌ(Zero Day, 0-Day) Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â ¾Ç¼ºÄڵ尡 Áö³ 6¿ù 15ÀÏ ¹ß°ßµÇ¾úÀ½À» °ø°³Çß´Ù. ±×¸®°í 6¿ù 22ÀÏ¿¡´Â ±âÁ¸¿¡ ¹ß°ßµÇ¾ú´ø Ãë¾àÁ¡À» ¾Ç¿ëÇÑ Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀÌ ¹ß°ßµÇ¾úÀ½À» °ø°³ÇÑ ¹Ù ÀÖ´Ù.
±×¸®°í ÃÖ±Ù 7¿ù 4ÀÏ¿¡ ´Ù½Ã ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î¿¡ Á¸ÀçÇÏ´Â ¾Ë·ÁÁø Ãë¾àÁ¡À» ¾Ç¿ëÇÑ Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀÌ ¹ß°ßµÇ¾úÀ¸¸ç ÇØ´ç Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏ ¿ª½Ã À̸ÞÀÏÀÇ Ã·ºÎ ÆÄÀÏ ÇüÅ·Π±¹³» ƯÁ¤ Á¶Á÷À» ´ë»óÀ¸·Î À¯Æ÷ µÇ¾ú´Ù°í ¹àÇû´Ù.
À̸ÞÀÏ¿¡ ÷ºÎµÇ¾î À¯Æ÷µÈ ÇØ´ç Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀ» ¿°Ô µÇ¸é ¾Æ·¡ À̹ÌÁö¿Í µ¿ÀÏÇÑ ³»¿ëÀÌ ³ªÅ¸³ª°Ô µÈ´Ù.
ÇØ´ç Ãë¾àÇÑ ÆÄÀÏÀº ¾Æ·¡ À̹ÌÁö¿Í °°Àº ±¸Á¶·Î µÇ¾î ÀÖÀ¸¸ç 6¿ù 15ÀÏ ¹ß°ßµÈ ÄÚµå ½ÇÇà Ãë¾àÁ¡À» ÀÀ¿ëÇÑ ÇüÅ°¡ ¾Æ´Ï¶ó ÀÌ¹Ì º¸¾È ÆÐÄ¡°¡ Á¦°øµÇ¾î ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù.
ÀÌ ¹ø¿¡ ¹ß°ßµÈ ÇØ´ç Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀº HncTextArt_hplg¿¡ Á¸ÀçÇÏ´Â ½ºÅÃ(Stack)ÀÇ °æ°è¸¦ üũÇÏÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â ¹öÆÛ ¿À¹öÇ÷οì(Buffer Overflow) Ãë¾àÁ¡À̸ç ÇØ´ç Ãë¾àÁ¡Àº 2010³âºÎÅÍ Áö¼ÓÀûÀ¸·Î ¾Ç¿ëµÇ¾î ¿Ô´ø ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡µé Áß ÇϳªÀÌ´Ù. ±×¸®°í ÇØ´ç Ãë¾àÁ¡Àº Çѱ۰ú ÄÄÇ»ÅÍ¿¡¼ ÀÌ¹Ì º¸¾È ÆÐÄ¡¸¦ Á¦°ø Áß¿¡ ÀÖ´Ù.
ÇØ´ç Ãë¾àÁ¡ÀÌ Á¸ÀçÇÏ´Â ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇÏ´Â ½Ã½ºÅÛ¿¡¼ ±ÝÀÏ À¯Æ÷µÈ Ãë¾àÇÑ ÇÑ±Û ÆÄÀÏÀ» ¿°Ô µÇ¸é »ç¿ëÀÚ °èÁ¤ÀÇ Àӽà Æú´õ¿¡ scvhost.exe(138,240 ¹ÙÀÌÆ®) ÆÄÀÏÀ» »ý¼ºÇÏ°Ô µÈ´Ù.
c:\documents and settings\[»ç¿ëÀÚ °èÁ¤¸í]\local settings\temp\scvhost.exe( 138,240 ¹ÙÀÌÆ®)
»ý¼ºµÈ scvhost.exe(138,240 ¹ÙÀÌÆ®) ÆÄÀÏÀÌ ½ÇÇàµÇ¸é À©µµ¿ì Æú´õ(c:\windows) Æú´õ¿¡ wdmaud.drv (78,336 ¹ÙÀÌÆ®)¸¦ »ý¼ºÇÏ°Ô µÈ´Ù.
C:\WINDOWS\wdmaud.drv (78,336 ¹ÙÀÌÆ®)
±×¸®°í »ý¼ºµÈ wdmaud.drv (78,336 ¹ÙÀÌÆ®)´Â °¨¿°µÈ ½Ã½ºÅÛ¿¡¼ ´ÙÀ½ÀÇ Á¤º¸µéÀ» ¼öÁýÇÏ¿© ¿ÜºÎ·Î Àü¼ÛÀ» ½ÃµµÇÏ°Ô µÇ³ª ºÐ¼® ´ç½Ã¿¡´Â Á¤»óÀûÀ¸·Î Á¢¼ÓÀÌ µÇÁö ¾Ê¾Ò´Ù.
¡¤Çϵå¿þ¾î Á¤º¸
¡¤À©µµ¿ì ¿î¿µÃ¼Á¦ Á¤º¸
¡¤·Î±×ÀÎ »ç¿ëÀÚ Á¤º¸
¡¤ÆÄÀÏ ¾÷·Îµå ¹× ´Ù¿î·Îµå
¡¤°¨¿°µÈ ½Ã½ºÅÛÀÇ IP ÁÖ¼Ò ¹× ÇÁ·Ï½Ã(Proxy) ¼¹ö ÁÖ¼Ò
¿À´Ã ¹ß°ßµÈ ±âÁ¸¿¡ ¾Ë·ÁÁø ÇÑ±Û ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡À» ¾Ç¿ëÇÑ ¾Ç¼ºÄÚµåµéÀº V3 Á¦Ç°±º¿¡¼ ´ÙÀ½°ú °°ÀÌ Áø´ÜÇÑ´Ù.
¡¤HWP/Exploit
¡¤Win-Trojan/Agent.138240.FK
¡¤Trojan/Win32.Dllbot
APT Àü¹® ´ëÀÀ ¼Ö·ç¼ÇÀÎ Æ®·¯½º¿ÍÃÄ(TrusWatcher)¿¡ Æ÷ÇÔµÈ DICA(Dynamic Intelligent Content Analysis)¿¡ ÀÇÇØ ½Ã±×´Ïó ¾øÀÌ ¾Æ·¡¿Í °°ÀÌ Å½Áö°¡ °¡´ÉÇÏ´Ù.
Exploit/HWP.AccessViolation-DE
ÇâÈÄ Ãâ½Ã ¿¹Á¤ÀÎ V3 ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼(Internet Security) 9.0 ¿¡ Æ÷ÇÔ ¿¹Á¤ÀÎ ASD 2.0ÀÇ MDP ¿£Áø¿¡¼µµ ½Ã±×´Ïó ¾øÀÌ ´ÙÀ½°ú °°ÀÌ Å½Áö°¡ °¡´ÉÇÏ´Ù.
Dropper/MDP.Document(57)
¾È·¦ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ´Â ¡°»ý¼ºµÇ´Â ÆÄÀϸíµé°ú »ý¼ºµÈ ¾Ç¼ºÄÚµåµéÀÌ °¡Áö°í ÀÖ´Â ±â´ÉµéÀ» ¹Ì·ç¾î º¼ ¶§ ÇØ´ç ¾Ç¼ºÄÚµå Á¦ÀÛÀÚ´Â µ¿ÀÏÇÑ ÇÑ±Û Ãë¾àÁ¡°ú µ¿ÀÏÇÑ ¾Ç¼ºÄÚµå ¼Ò½ºÄڵ带 ¹ÙÅÁÀ¸·Î Áö¼ÓÀûÀ¸·Î º¯ÇüµéÀ» »ý»êÇس»´Â °ÍÀ¸·Î ºÐ¼®µÈ´Ù¡±°í ¼³¸íÇß´Ù.
¶ÇÇÑ ¾Õ¼ ¾ð±ÞÇÑ ¹Ù¿Í °°ÀÌ Çѱ۰úÄÄÇ»ÅÍ¿¡¼ º¸¾È ÆÐÄ¡¸¦ ¹èÆ÷ ÁßÀÎ »óÅÂÀÌ´Ù. ±×·¯¹Ç·Î ÇØ´ç º¸¾È ÆÐÄ¡¸¦ ¼³Ä¡ÇÏ´Â °ÍÀÌ ¾Ç¼ºÄÚµå °¨¿°À» ±Ùº»ÀûÀ¸·Î Â÷´ÜÇÏ´Â ¹æ¾ÈÀÌ´Ù.
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>