ìê° ìì±ì½ë ìëì¬ì´í¸ íì§ ëí¥ ë³´ê³ ì ì (3 )

월간 악성코드 은닉사이트 탐지 

동향 보고서 

(3 월) 

2012. 04. 

침해사고대응단 

인터넷침해대응센터

목 차 > 

1. 악성코드 은닉 동향 요약 ················································· 1 

2. 홈페이지 은닉형 악성코드 통계 ····································· 2 

- 유포지 탐지․ 국가별 현황 ························································· 2 

- 대량랕 경유지가 탐지된 유포지 TOP10 ···································· 3 

- 악성코드 유형별 비율 ····························································· 4 

- 악성코드 취약점 유형별 비율 ················································ 4 

- 악성코드 수집 및롺 분석결과 ···················································· 5 

- 경유지 탐지․ 업종별 비율 ························································· 6 

3. 악성코드 동향 ······································································· 7 

- IE 취약점 악용 악성코드 유포( 온라인 게임계정 탈취형) ······· 7 

- IE 취약점 악용 악성코드 유포( 원격제어형) ···························· 8 

4. 향후 전망렆 ············································································ 10

악성코드 은은닉 동향 요약 

□ 개 요 

o KISA 

인인터넷침해대응응센터에서는 국내 홈페이이지를 통해 유유포되는 악성 

코드를 자자동으으로 탐지하여 삭제 및 차단조치 함으으로써, 이이용자자 

악성코드 감염피해 예방활동을을 수행하고고 있있다. 

PC의의 

o 아울울러, 매월월 KISA에서 탐지된 악성코드 은은닉사이이트 경경향을을 분석하고고 

향후 출현 가능한 위위협 요소를 전망하여 침해사고고대응응 및 보안 인인식 

제고고 자자료로 활용하고고자자 한다. 

월간 동향 요약 

o 이이용자자 PC 환경경의의 취약점 악용 유유형중 MS IE(CVE-2010-0806), Flash 

Player(CVE-2011-2140), 윈윈도우우 MIDI 파일일 취약점(CVE-2012-0003) 

을을 

이이용하여 온라인인 게임계계정 탈취(ONLINE GAME HACK) 악성코드 

유유포가 많이이 나타나고고 있있다. 

※ CVE-2011-0806 ( 인터넷 익스플로러 취약점) 

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0806 

※ CVE-2011-2140 (Adobe Flash Player 취약점) 


※ CVE-2012-0003 ( 윈도우 MIDI 파일 취약점) 


o 3월월 유유포지의의 악성코드는 35% 가 온라인인 게임계계정 탈취형으으로 분석되었다. 

- 그 이이외에 추가파일일 다운운로드형 , 드롭퍼, 원원격제어형 등의의 악성코드가 

발견견되었다. 

- 1 -

홈페이이지 은은닉형 악성코드 통계계 

Information TIP 

o 악성코드 은닉사이트란? 

이용자 PC 를 악성코드에 감염시킬 수 있는 홈페이지로, 

해킹을 당한 후 악성코드 

자체 또는 악성코드를 유포하는 주소(URL) 를 숨기고 있는 것을 말한다. 

o 악성코드 은닉사이트는 크게 유포지와 경유지로 구분된다. 

유포지 

경유지 

: 

홈페이지 이용자에게 악성코드를 직접 유포하는 홈페이지 

: 홈페이지 방문자를 유포지로 자동 연결하여 악성코드를 간접 유포하는 홈페이지 

□ 유유포지 탐지․ 

국가별 현황 

o 2012년 

3 월월에 악성코드 유유포지 탐지 및 조치 현황은은 다음음과과 같다. 

- 악성코드 유유포지 탐지는 전월월대비 58.8%(68건 → 108 건) 증가하였다. 

o 

탐지된 해외 유유포지는 국내 주요 

접속이이 불가능하도록 한다. 

ISP에 의의해 차단조치 되어 이이용자자가 

유포지 탐지 

유포지 국가별 현황 

- 2 -

□ 대량 경경유유지가 탐지된 유유포지 TOP10 

o 2012년 3월월에 대량 경경유유지가 탐지된 유유포지 TOP10 은은 다음음과과 같다. 

- 탐지된 유유포지는 KISA에서 차단조치 하여 악성코드 감염 위위협을을 사전에 

제거한 상태이이다. 

순위 탐지일 유포지 국가 

경유지 

건수 

악용 취약점 

KISA 

차단일자 

1 2012.03.13 http://fgthyj.com/r.php 러시아 46 - 2012.03.14 

2 2012.03.13 http://www. .net/inde.htm 한국 32 - 2012.03.13 

3 2011.07.10 http://kr.lienzing.info/tongji.jpg 홍콩 30 - 2011.07.10 

4 2011.06.17 www.amcia.info/nb/nb.html 미국 21 - 2011.06.17 

5 2012.02.07 http://www. .co.kr/Scripts/aa.js 한국 11 - 2012.02.09 

6 2012.03.17 http://www.ponib.com/web/ly/bo 

ard.html 

미국 5 CVE-2011-2140 2012.03.17 

7 2011.08.23 http://kr.lienzing.info/tongji.htm 홍콩 5 - 2011.07.10 

8 2012.03.28 http://hnjhkm.com/r.php 러시아 5 - 2012.03.29 

9 2012.02.15 http://61.147.112.112:1154/IE.html 중국 4 CVE-2010-0249 2012.02.15 

10 2012.03.15 http://www.onedays.info:5920/ind 

ex.html 

※ 

CVE-2010-0249, CVE-2010-0806 : 

미국 4 

인터넷 익스플로러 취약점 

※ CVE-2011-2140, CVE-2012-0754 : Adobe Flash Player 

취약점 

CVE-2010-0806 

CVE-2011-2140 

CVE-2012-0754 

2012.03.15 

- 3 -

□ 악성코드 유유형별 비율율 

o 악성코드 유유형 중 온라인인 게임 계계정 탈취형 및 다운운로더형이이 각 

비율율로 나타나고고 있있다. 

35% 의의 

※ 

※ 

다운로더 : 추가적인 악성코드를 인터넷이나 네트워크를 통하여 다운로드하여 설치 

드롭퍼 : 악성코드에 포함된 추가적인 악성코드를 설치 

□ 악성코드 취약점 유유형별 비율율 

o CVE-2010-0806(Internet Explorer 취약점) 

의의 취약점을을 악용하는 경경우우가 

29% 로 가장장 높은은 비율율을을 차지하고고 있있다. 

- 4 -

□ 악성코드 수집 및 분석결결과과 

o 2012년 

3 월월에 악성코드 수집 내역과과 분석 결결과과는 다음음과과 같다. 

- 주로 취약점은은 IE, Adobe Flash Player, MIDI 파일일 취약점 3가지 형태로 

나타나고고 있있다. 

No 탐지일 유포지 국가 취약점 악성코드 유형 

1 03.02 http://movies. .com/txt.html 한국 

2 03.03 http://www.ads-1.info/c.gif 미국 

CVE-2010-0806 

(IE 취약점) 

CVE-2011-2140 

(FlashPlayer 취약점) 

CVE-2012-0003 

(MIDI 파일 취약점) 

CVE-2011-3544 

(Java 취약점) 

드롭퍼 

다운로더 

3 03.04 

http://ns88.janupgamta.com/new/ne 

w.html 

일본 

CVE-2010-0806 

CVE-2012-0003 

드롭퍼 

4 03.05 

http://www.wxbkor.com/ma/index.ht 

ml 

미국 

CVE-2010-0806 

CVE-2012-0003 

드롭퍼 

5 03.05 http:// .or.kr/js/linux.html 한국 

6 03.14 http://www. .com/xx/index.html 한국 

CVE-2010-0806 

CVE-2012-0003 

CVE-2010-0806 

CVE-2011-2140 

CVE-2012-0003 

CVE-2012-0754 

(FlashPlayer 취약점) 

드롭퍼 

다운로더 

7 03.15 

http://www.onedays.info:5920/index. 

html 

미국 

CVE-2010-0806 

CVE-2011-2140 

CVE-2012-0754 

다운로더 

8 03.18 http://img. .com/css.html 한국 CVE-2010-0806 다운로더 

9 03.19 http://ad. .info/images/ 한국 

CVE-2009-0075 

(IE 취약점) 

CVE-2011-2140 

CVE-2012-0003 

다운로더 

10 03.19 http://xipih.com/main/dd/ddd.exe 일본 직접 다운로드 

온라인 

게임계정 탈취 

11 03.20 http://98.126.66.51/maa/index.html 미국 

CVE-2010-0806 

CVE-2011-2140 

온라인 


- 5 -

12 03.23 http://72.20.9.165/index.html 미국 CVE-2010-0806 

13 03.24 http://98.126.66.54:85/maaax.exe 미국 직접 다운로드 

온라인 


온라인 


14 03.24 http://img. .com/main.html 한국 CVE-2010-0806 다운로더 

15 03.24 http://www. .com/tmp/d.exe 한국 직접 다운로드 

16 03.28 http://myxih.com/web/ac/hhh.html 미국 CVE-2010-0806 

온라인 


온라인 


17 03.30 http://10086so.com/10086/x6.htm 미국 CVE-2010-0806 원격제어 

※ 

※ 

드롭퍼 : 악성코드에 포함된 추가적인 악성코드를 설치 

다운로더 : 추가적인 악성코드를 인터넷이나 네트워크를 통하여 다운로드하여 설치 

□ 경경유유지 탐지․ 

업종별 비율율 

o 2012년 

3 월월에 악성코드 경경유유지 탐지․ 

업종별 유유형은은 다음음과과 같다. 

- 악성코드 경경유유지 탐지는 전월월대비 23.6%(365 건 → 279 건) 감소하였다 . 

※ 탐지된 경유지는 해당 홈페이지 운영자에게 전화․ 

메일을 통해 악성코드 삭제 및 

보안조치 요청을 수행 

- 경경유유지 업종별 유유형 중 일일반기업이이 가장장 높게 나왔으으며 , 이이용자자의의 방문이이 

많은은 쇼핑, 방송 또는 신문사 등의의 업종도 많이이 탐지가 되었다. 

경유지지 탐지 

경유지 업종별 유형 

- 6 -

악성코드 동향 

3월 악성코드 이슈 

o ‘12년 3 월월 수집된 악성코드 샘플을을 분석한 결결과과, 다중 취약점을을 악용하는 

형태가 많았으으며, 단일일 Internet Explorer 취약점을을 악용하여 악성코드를 

유유포하는 형태가 

29% 로 가장장 높게 나타났다. 

o 

악성코드 유유형으으로는 온라인인 게임계계정 탈취형 및 다운운로더형이이 각 

35% 로 가장장 높았으으며, 그 이이외에도 추가파일일 다운운로드형, 

원원격제어형 

등의의 악성코드가 발견견되었다. 

□ 

Internet Explorer 취약점을을 악용한 악성코드 유유포 ( 온라인인 게임계계정 탈취형 ) 

http://myxih.com/web/ac/hhh.html 

...... 생략 ...... 

// IE 

취약점을 악용하여 악성코드 다운로드 

 

var E8=["Array","length","%u0c","0c%","u0c0c","unescape","substring"]; 

var 

a4=unescape("%u11eb%u4a5a%uc933%u8166%uF3c1%u800C%u0a34%ue294%uebfa%ue805%uffea% 

uffff%u7cf4%u9494%u9494%u15c9%u8779%ud484%u1f94%u1961%ua512%ud483%uc494%u917c%u9 

492%u1994%u8e12%ud483%uc494%u6d7c 

...... 생략 ...... 

- 7 -

o 

- 

악성코드 파일일(a.exe) 

네트워워크상의의 악성행위위 

상세분석 내용 

도메인 IP 용도 상세내용 

ranuf.com 180.178.57.235 

darkindark.com 65.19.185.135 

정보유출 

- 

- 

온라인게임 로그인시 계정정보 전송 

․ 

POST /ac/board.asp 

온라인게임 로그인 시 계정정보 전송 

․ 

POST /zboard.asp 

dawnmey.com 173.252.244.212 - 온라인게임 로그인 시 계정정보 전송 

- 

운운영체제상의의 악성행위위 

악성행위 

- 윈도우 시스템 폴더에 다음과 같은 파일 생성 

․ C:\WINDOWS\system32\olesau32.dll 

․ C:\WINDOWS\system32\Driver\ahnurl.sys 

분석내용 

악성코드 파일 생성 

- 

온라인 게임 로그인 시 계정 정보 유출 

계정 정보 유출 

□ Internet Explorer 취약점을을 악용한 악성코드 유유포 ( 원원격제어형) 

- 8 -

o 악성코드 파일일(20120220.exe) 

- 네트워워크상의의 악성행위위 

상세분석 내용 

도메인 IP 용도 상세내용 

ip.00079.net 98.126.32.13 악성코드 경유지 - hxxp://ip.00079.net 

- 120.42.120.89 C&C 주소 - 120.42.120.89 

- 

운운영체제상의의 악성행위위 

악성행위 

분석내용 

- 다음과 같은 경로에 악성코드 복사 

․ C:\WINDOWS\Event Logs.exe 

- 다음과 같이 서비스를 등록 

․ Event Logs 

․ C:\WINDOWS\Event Logs.exe 

악성코드 자동실행을 

위해 서비스 등록 

- 9 -

향후 전망 

□ 악성코드 유유포방법 및 조치방안 

o MS IE, MIDI 

파일일, Adobe Flash Player, Java 

취약점 등을을 복합적으으로 

악용하여 악성코드를 유유포시키는 사례가 지속적으으로 나타날 것으으로 

전망된다. 

o 기업 및 개인인사용자자는 악성코드에 감염되어 개인인정보 유유출, 좀비PC로의의 

전락 등의의 피해를 입지 않도록 주의의하여야 한다. 

o 

기업에서 근본적으으로 홈페이이지 개발시점부터 보안의의식 및 시큐어코딩 

으으로 홈페이이지를 구축하고고, 

주기적인인 취약점 점검 및 패치 적용하여 

웹웹서버가 해킹되지 않도록 사전에 방지해야 한다. 

※ 웹취약점 점검 서비스 및 웹보안 강화도구 안내 - http://krcert.or.kr 참조 

o 이이용자자는 Adobe Flash Player 취약점에 의의해 악성코드에 감염되지 않기 

위위해서는 

MS 윈윈도우우의의 보안 업데이이트를 항상 최신 상태로 유유지하여 

취약점에 노출되지 않도록 하여야 하며, 

으으로 검사하여야 한다. 

백신 프로그램을을 통하여 주기적 

- 10 -

ìê° ì ì±ì½ë ìëì¬ì´í¸ íì§ ëí¥ ë³´ê³ ì ì (3 )

Create successful ePaper yourself

Delete template?

Save as template?

ìê° ìì±ì½ë ìëì¬ì´í¸ íì§ ëí¥ ë³´ê³ ì ì (3 )