'winnea.ime'에 해당되는 글 1건

  1. 2010.07.08 안티바이러스 실시간 보호를 망가뜨리는 악성 코드 출현 (2)
최근 외국에서 IME를 이용하여 시스템에 악성 코드를 감염시키는 트로이 목마가 발견되었습니다. IME(Windows Input Method Editor, 문자 입력기)는 사용자가 선택한 언어 이외에 다른 문자, 기호를 입력할 때 사용되는 시스템입니다. 예를 들며, 영문 키보드에서 한국어, 한자, 일본어 등을 입력할 때 사용할 수 있습니다.

트로이 목마는 IME 자체에 삽입되어 설치되는 형태로 설치되자 마자 안티바이러스의 프로세스를 삭제하고 설치된 관련된 파일들을 삭제합니다. 트로이 목마는 안티바이러스 업데이트 패키지인 것처럼 아이콘과 관련 정보를 위장합니다.

 

 사용자가 무의식적 또는 실수로 트로이목마를 실행하면 system 폴더 아래에 winea.ime 파일을 생성합니다. .ime 파일 형식은 MS가 사용하는 'Global Input Method Editor'에 연결된 확장자입니다. 

 위의 예에서, winnea.ime는 DLL 파일이지만 IME 파일로 위장하고 있으며 입력 방식으로 설치됩니다. 입력 매개변수인 "5Ah"는 SystemParametersInfo(sub_131486C0) 함수에서 사용되며, 윈도우 레지스트리에서 기본 IME를 변경하는 역할을 합니다. 

사용자가 IME를 열 때, winea.ime가 로드되고 먼저 안티바이러스가 있는지 확인합니다.
 

그와 동시에 winiea.ime는 pcij.sys 파일을 system 폴더에 생성하고 드라이버 프로세스로 로드합니다. 

 
그런 후에 발견된 안티바이러스의 프로세스가 있는 경우에는 Device0Control을 호출합니다. 컨트롤 코드는 pcij.sys 드라이버 프로세스로 보내집니다.

 pcij.sys 파일은 안티바이러스에 속한 모든 프로세스를 찾아 ObReferenceObjectByHandle 함수를 호출하여 프로세스를 삭제합니다. 

 이와 같이 이 새로운 트로이 목마는 전통적인 감염 방식이 아닌 IME를 이용하는 흥미로운 감염 방식을 이용하고 있습니다. 아마도, IME가 윈도우에서 널리 사용되기 때문인 것으로 생각됩니다.

출처: http://community.websense.com/blogs/securitylabs/archive/2010/07/05/trojan-using-input-method-inject-technology.aspx

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory