※ 아래아 한글 ( HWP ) 프로그램의 취약점을 이용한 악성코드에 대한 분석 정보를 게시합니다.
[ 관련 정보 ]
- [KISA_보호나라] 한글 스택 버퍼 오버플로우 취약점 보안 업데이트 공고
[ 패치 정보 ]
- 한글과 컴퓨터 패치/업데이트
[ 무료백신 ]
- [KISA_보호나라] Exploit/KEditor ( HWP 한글 취약점 이용 ) 치료용 전용백신
[ 전체 동작 시나리오 ]
:: 메일/P2P/웹사이트/블로그 등을 통해 전달된 Exploit Code를 갖는 한글 파일이 취약점이 존재하는 아래아 한글
프로그램으로 실행되면 위의 그림과 같이 "개인 정보 보호법" 관련 문서를 사용자에게 보여주고 백그라운드로
악성파일 Hwpeq9x.dll를 생성한다. 해당 파일내부의 Resource Section에서는 암호화되어 있는 PE파일이 존재
한다. 하지만 시그니쳐는 PDF 파일 형태로 되어 있지만 복호화가 완료되면 PE 파일 Mvcert.dll이 생성된다.
또한 동일 Resouce Section에서 원격지 서버 목록 ( IP주소 ) 와 연결 포트 번호를 갖고 있는 Krpfs.dat를 생성
( Drop ) 해 Mvcert.dll 파일이 원격지 연결을 시도할 때 사용하는 방식을 띈다.
[ 파일 정보 ]
파일명 : UnKnown HWP 파일 ( 추정 : 개인정보 보호법.hwp )
파일크기 : 322.296 Bytes
해쉬 ( MD5 ) : 3e23194afb2bb39a729721ca16d17e2f
특이 사항 : 생성된 파일은 정상 파일의 Resource 정보를 이용해 정상처럼 존재한다.
- Hwpeq9x.dll : Windows Movie Maker FX
- Mvcert.dll : 7z Standalone Extracting Plugin
[ 관련 정보 ]
- [KISA_보호나라] 한글 스택 버퍼 오버플로우 취약점 보안 업데이트 공고
[ 패치 정보 ]
- 한글과 컴퓨터 패치/업데이트
[ 무료백신 ]
- [KISA_보호나라] Exploit/KEditor ( HWP 한글 취약점 이용 ) 치료용 전용백신
[ 전체 동작 시나리오 ]
프로그램으로 실행되면 위의 그림과 같이 "개인 정보 보호법" 관련 문서를 사용자에게 보여주고 백그라운드로
악성파일 Hwpeq9x.dll를 생성한다. 해당 파일내부의 Resource Section에서는 암호화되어 있는 PE파일이 존재
한다. 하지만 시그니쳐는 PDF 파일 형태로 되어 있지만 복호화가 완료되면 PE 파일 Mvcert.dll이 생성된다.
또한 동일 Resouce Section에서 원격지 서버 목록 ( IP주소 ) 와 연결 포트 번호를 갖고 있는 Krpfs.dat를 생성
( Drop ) 해 Mvcert.dll 파일이 원격지 연결을 시도할 때 사용하는 방식을 띈다.
[ 파일 정보 ]
파일명 : UnKnown HWP 파일 ( 추정 : 개인정보 보호법.hwp )
파일크기 : 322.296 Bytes
해쉬 ( MD5 ) : 3e23194afb2bb39a729721ca16d17e2f
특이 사항 : 생성된 파일은 정상 파일의 Resource 정보를 이용해 정상처럼 존재한다.
- Hwpeq9x.dll : Windows Movie Maker FX
- Mvcert.dll : 7z Standalone Extracting Plugin
'Malware > Windows' 카테고리의 다른 글
| [Analysis] 변조된 KMPlayer 3.0.0.1442 버전으로 인한 DDoS 공격 (0) | 2011.11.27 |
|---|
