태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2014.01.24 16:08


실제로는 app.gomblab.com 의 정상적인 서버로 연결되어야 하지만 특정 IP대역에서 접속시 일시적으로 다음과 같이 일본 부동산 관련 사이트로 변조되어 이용되었다. 

http://www.fudousankaitori.jp/share/gom/GrVersionJP.ini
ㄴhttp://www.fudousankaitori.jp/share/gom/GoMPLAYERJPSETUP.EXE



악성파일 제작자는 32비트용과 64비트용을 구분해서 치밀하게 만들었다.

PDF 파일로 위장하고 암호화되어 있던 instructions.pdf 코드를 복호화하면 아래와 같이 실행가능한 악성파일이 만들어진다. 


PDF 파일로 위장하고 있는 "instructions64.pdf" 파일을 복호화하면 아래와 같이 중국어 경로로 제작된 것을 확인할 수 있다.


중국어로 표기되어 있는 부분은 아래와 같다. [jian ji ji zhen yin]



dll64.tmp


dll.tmp



http://viruslab.tistory.com/2882 

일본 곰플레이어 서버를 해킹하고, 곰플레이어 업데이트파일처럼 교묘하게 위장하여 업데이트를 통해서 유포한 악성파일 이름을 FakeGom 이라고 명명해 주었다. 가짜 곰 같으니라고..


https://www.virustotal.com/ko/file/52c61a87553e9ad43f14f199e130c48c0ea0eab326732f9d343a883883526820/analysis/1390662081/

https://www.virustotal.com/ko/file/eaaee6a6ca6979c4469f7db776f56b518f3fbdc2648d7641885aeab9fd199c58/analysis/1390662072/

https://www.virustotal.com/ko/file/b2f9e2f7c07235a6ea03e90ba591f0a43d38d8ff8ee6583473b6fbb63831619d/analysis/1390662118/

https://www.virustotal.com/ko/file/f2f85132e22929327386edea8a3cb32053e9cdf848e3ade875cf973fa4f60a89/analysis/

http://www.miansha.net/

miansha 는 사람 이름일 수도 있고 지역일 수도 있다.

http://www.symantec.com/security_response/writeup.jsp?docid=2014-012407-3922-99&tabid=2


install.exe 파일 내부에는 miansha 라는 영문표기가 있는데 이것은 免杀 라고 해서 [보안제품 우회] 등으로 사용된 것으로 보인다.



http://www.atmarkit.co.jp/ait/articles/1401/23/news138.html

http://mainichi.jp/select/news/20140124k0000e040209000c.html

미국 뉴욕에 소재하고 있는 일본 서비스용 곰플레이어 서버를 통한 악성파일 유포는 일본 특정 IP 주소를 가진 컴퓨터에만 감염되도록 만들어져 있다.

특정 IP주소에 일본의 여러 중앙 부처 및 기업을 포함하고 있다. 기존에 국내에서도 보고된 바 있는 대역별 표적공격 스타일이다.

그렇기 때문에 일본 곰플레이어를 이용하는 일반인은 감염되지 않는다. 이미 공격자는 감염시키고자 했던 대역을 준비하고 있었다.

교묘하게 한국회사와 한국 C&C주소를 이용했다. 덕분(?)에 일본 누리꾼들이 한국 엄청 욕하고 있다. 일본 정부와 보안업체는 도대체 제대로된 발표를 언제쯤 할려나 모르겠다.


일본 곰플레이어 업데이트 현황

http://www.gomplayer.jp/player/notice/view.html?intSeq=284



곰플레이어 일본 서버를 통해서 유포된 악성파일이 일본 원자력 고속증식로 "몬주"의 발전과 직원 피시를 감염시킨 듯.

http://terms.naver.com/entry.nhn?docId=932908&cid=628&categoryId=628





아래는 2014년 1월 6일 일본내 소식!









아래 화면은 일본 특정인이 올린 일본어를 번역한 것이다.

 
이런건 원래 있어도 없고, 없어도 없다.

 
저작자 표시 동일 조건 변경 허락
신고
Posted by viruslab