아이로봇 룸바 등... 국내 50여개 사이트 제로데이 유포 !!

정기적으로 이벤트에 관심이 있는 제가 몇일전 아이로붓 룸바라는 사이트에 접속을 하였다,
현재는 삽입 자체가 사라져있지만 연결되는 유포지가 JS ~> ie.html ~> swf ~> log.exe 로 결국에는 연결 되는 형태였다. 처음에는 swf 라서 별 의심을 하지 않고 바이러스 토탈을 돌렸으나, 진단명으로 보고는 제로데이라는 것을 알고 지인분께 부탁을 드린결과 어도비 플레쉬 제로데이가 변형 된것이라고 답장을 받았다.,
링크 형태로 구글링을 한 결과 이사이트 뿐만 아니라 많이 퍼져 있는것을 볼수 있었다. 현재는 패치가 나와서 다행이지만. 국내에서 퍼지는 경우를 본것은 난 처음 봐서 신기하였다.
최종파일 나오기 중간 과정에는 리플레이스 하는 절차가 있어서 까다롭지만,, 메인 유포지에 리플레이스를 본다면 쉽게 풀수 있을것이다,

검사 파일: log.exe 전송 시각: 2010.06.14 05:01:54 (UTC)

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	5.0.0.26	2010.06.14	Trojan.Win32.Sasfis!IK
AhnLab-V3	2010.06.13.00	2010.06.12	Dropper/Win32.Genome
AntiVir	8.2.2.6	2010.06.13	TR/Downloader.Gen
Antiy-AVL	2.0.3.7	2010.06.11	-
Authentium	5.2.0.5	2010.06.13	W32/Sasfis.S
Avast	4.8.1351.0	2010.06.13	Win32:Malware-gen
Avast5	5.0.332.0	2010.06.13	Win32:Malware-gen
AVG	9.0.0.787	2010.06.14	Small.CCN
BitDefender	7.2	2010.06.14	Generic.Malware.Sdld!!.863B0F4D
CAT-QuickHeal	10.00	2010.06.14	Trojan.Sasfis.ajbx
ClamAV	0.96.0.3-git	2010.06.14	-
Comodo	5093	2010.06.14	TrojWare.Win32.TrojanDownloader.Agent.~GJC
DrWeb	5.0.2.03300	2010.06.13	Trojan.MulDrop.64760
eSafe	7.0.17.0	2010.06.13	Win32.TRDownloader
eTrust-Vet	36.1.7629	2010.06.11	-
F-Prot	4.6.0.103	2010.06.13	W32/Sasfis.S
F-Secure	9.0.15370.0	2010.06.14	Generic.Malware.Sdld!!.863B0F4D
Fortinet	4.1.133.0	2010.06.13	W32/DROPPER.RM!tr
GData	21	2010.06.14	Generic.Malware.Sdld!!.863B0F4D
Ikarus	T3.1.1.84.0	2010.06.14	Trojan.Win32.Sasfis
Jiangmin	13.0.900	2010.06.13	Trojan/Sasfis.hos
Kaspersky	7.0.0.125	2010.06.14	Trojan.Win32.Sasfis.aoxj
McAfee	5.400.0.1158	2010.06.14	Generic Dropper.rm
McAfee-GW-Edition	2010.1	2010.06.13	Artemis!7516524B9F4F
Microsoft	1.5802	2010.06.13	TrojanDropper:Win32/Small.AHL
NOD32	5193	2010.06.13	probably unknown NewHeur_PE
Norman	6.04.12	2010.06.13	Zlob.gen114
nProtect	2010-06-14.01	2010.06.14	-
Panda	10.0.2.7	2010.06.13	Trj/Qhost.GK
PCTools	7.0.3.5	2010.06.14	Downloader.Generic
Prevx	3.0	2010.06.14	Medium Risk Malware Downloader
Rising	22.51.06.01	2010.06.13	Trojan.Win32.Generic.52085DD7
Sophos	4.54.0	2010.06.14	Mal/Behav-290
Sunbelt	6445	2010.06.14	Win32.Malware!Drop
Symantec	20101.1.0.89	2010.06.14	Downloader
TheHacker	6.5.2.0.298	2010.06.12	Trojan/Sasfis.aoxj
TrendMicro	9.120.0.1004	2010.06.14	TROJ_SMALL.NSZ
TrendMicro-HouseCall	9.120.0.1004	2010.06.14	TROJ_SMALL.NSZ
VBA32	3.12.12.5	2010.06.11	-
ViRobot	2010.6.14.3884	2010.06.14	-
VirusBuster	5.0.27.0	2010.06.13	-

추가 정보
File size: 6144 bytes
MD5   : 7516524b9f4f7a524b154096d136aa7c
SHA1  : 77dbf742f24041bc74aaffafd3583bf128eff7ea
SHA256: 85344c5db45eb5bba6702091afdefe634387038d9c7f7704d5e8648507b9482e 검사 파일: anhey.swf 전송 시각: 2010.06.14 01:29:08 (UTC) 안티바이러스 엔진 버전 정의 날짜 검사 결과 a-squared 5.0.0.26 2010.06.14 Exploit.SWF.Agent!IK AhnLab-V3 2010.06.13.00 2010.06.12 - AntiVir 8.2.2.6 2010.06.13 - Antiy-AVL 2.0.3.7 2010.06.11 - Authentium 5.2.0.5 2010.06.13 - Avast 4.8.1351.0 2010.06.13 - Avast5 5.0.332.0 2010.06.13 - AVG 9.0.0.787 2010.06.14 - BitDefender 7.2 2010.06.14 - CAT-QuickHeal 10.00 2010.06.12 - ClamAV 0.96.0.3-git 2010.06.13 - Comodo 5091 2010.06.14 - DrWeb 5.0.2.03300 2010.06.13 - eSafe 7.0.17.0 2010.06.13 - eTrust-Vet 36.1.7629 2010.06.11 - F-Prot 4.6.0.103 2010.06.13 - F-Secure 9.0.15370.0 2010.06.13 - Fortinet 4.1.133.0 2010.06.13 - GData 21 2010.06.14 - Ikarus T3.1.1.84.0 2010.06.14 Exploit.SWF.Agent Jiangmin 13.0.900 2010.06.13 - Kaspersky 7.0.0.125 2010.06.14 Exploit.SWF.Agent.dq McAfee 5.400.0.1158 2010.06.14 - McAfee-GW-Edition 2010.1 2010.06.13 - Microsoft 1.5802 2010.06.13 Exploit:SWF/CVE-2010-1297.C NOD32 5193 2010.06.13 - Norman 6.04.12 2010.06.13 - nProtect 2010-06-12.01 2010.06.12 - Panda 10.0.2.7 2010.06.13 - PCTools 7.0.3.5 2010.06.14 Trojan.Generic Prevx 3.0 2010.06.14 - Rising 22.51.06.01 2010.06.13 - Sophos 4.54.0 2010.06.14 - Sunbelt 6445 2010.06.14 - Symantec 20101.1.0.89 2010.06.14 Trojan Horse TheHacker 6.5.2.0.298 2010.06.12 - TrendMicro 9.120.0.1004 2010.06.13 - TrendMicro-HouseCall 9.120.0.1004 2010.06.14 - VBA32 3.12.12.5 2010.06.11 - ViRobot 2010.6.12.3882 2010.06.13 - VirusBuster 5.0.27.0 2010.06.13 -   추가 정보 File size: 44358 bytes MD5...: 60ac2963d559866abc9b6541e1a3831d SHA1..: 3319d0e39a5cba866c88c380db351bf67392383b SHA256: 725f0cc85e34151e7e6af81a4f221b47a6825944cbaf68a4b5daf4023e5143e4

안랩 쪽에는 이미 진단이 가능한 파일이며 어도비 플레쉬를 패치를 했다면 별 이상이 없을것이다 !!

[안철수연구소]

해외 시각으로 2010년 6월 5일 어도비(Adobe) 플래쉬 플레이어(Flash Player)의 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용한 공격이 발생하였다.

이 번에 발견된 어도비 플래쉬 플레이어에 존재하는 알려지지 않은 취약점은 현재 어도비에 의해 보안 패치가 제공되지 않는 제로 데이(0-Day, Zero-Day) 취약점임으로 각별한 주의가 필요하다.

해당 어도비 플래쉬 플레이어의 알려지지 않은 취약점에 대해서 어도비사에서도 이에 대해 인지하고 관련 보안 권고문을 해당 업체 블로그 "Security Advisory for Flash Player, Adobe Reader and Acrobat"에 관련 정보를 공개 하였다.

이 번에 발생한 제로 데이 공격은 아래 이미지에서와 같이 악의적인 목적으로 제작된 어도비 아크로뱃 리더(Arcobat Reader)에 쉘코드(Shellcode)가 포함된 자바스크립트(JavaScript)와 함께 취약한 SWF 파일이 포함된 형태로 발생하였다.

 

 

해당 제로 데이 취약점에 대해 ASEC에서는 자세한 분석을 진행 중에 있으며 현재까지 파악된 바로는 플래쉬 파일을 처리하는 'authplay.dll' 모듈에서 잘못된 메모리 참조 과정에서 발생하는 코드 실행 취약점으로 분석 되었다.

이 번 제로 데이 취약점을 악용한 악성코드에 대해서 V3 제품군에서는 다음과 같이 진단한다.

PDF/Cve-2010-1297
SWF/Cve-2010-1297

현재 어도비사에서는 이번 제로 데이 취약점에 대한 임시 방편으로 다음 사항들을 권고하고 있으니 참고 하기 바란다.

1. 취약점이 발견된 해당 'authplay.dll' 파일을 삭제하거나 파일명 변경

C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll

2. 배포 예정(Release Candidate)인 Flash Player 10.1으로 업데이트
Flash Player 10.1 Release Candidate

자세한 사항 : http://www.ahnlab.com/kr/site/securitycenter/asec/asecIssueView.do