태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.06.11 12:59


유사 변형 정보 꼭 읽어보기
관련 방식으로 다수의 변형(open.html)이 유포된 바 있습니다.
위의 파란색글씨(링크)를 꼭 확인해 보세요.
viruslab.tistory.com

우려했던대로 2010 남아프리카 공화국 월드컵 관련 내용으로 위장한 악성코드 이메일이 전파 중이며, 국내에도 조금 전 유입된 것이 확인되었습니다.

아래 내용을 유심히 살펴보시고, 변형된 내용으로도 전파될 수 있으니 파일이 첨부된 경우 각별히 주의하시는 것이 좋겠습니다.


제목 :
FIFA World Cup South Africa... bad news

내용 :
Hello!!
FIFA World Cup 2010 scandal news, read attached document

첨부파일 :
news.html


사용자 삽입 이미지

news.html 파일은 현재 Virus Total 에 등록되지 않은 상태이고, nProtect Anti-Virus 패턴에 긴급으로 추가될 예정입니다.
 
스크립트 파일은 다음과 같이 암호화(코드 난독화)된 스크립트로 구성되어 있고, 정상적으로 작동되면 특정 러시아 도메인 사이트로 접속을 하도록 제작되어 있습니다.

일부 모자이크 처리

 
연결되는 사이트에 의해서 Adobe Reader 취약점을 보유하고 있는 PDF 파일이 설치됩니다.

일부 링크 삭제 처리


해당 사이트에서 Notes10.pdf 라는 악성코드가 설치되며, 이전과 동일하게 비아그라 판매 사이트도 함께 연결됩니다.


설치되는 PDF 악성코드는 2010년 6월 초부터 여러 차례 도메인 주소가 변경된 바 있습니다.


현재 Notes10.pdf 라는 파일명을 사용하며 유포되고 있는 서버에는 Notes1.pdf ~ Notes9.pdf 다형성 변종 파일도 존재합니다.


현재 유포중인 악성코드는 CVE-2008-2992 취약점을 이용하는 것으로 보이며, 따라서 PDF Reader 8.1.2 버전 이하에 적용되는 사용자의 경우 악성코드에 노출될 위험성이 존재합니다.

따라서 이러한 보안 취약점을 통한 악성코드의 감염 피해를 예방하기 위해서 최신 보안 패치를 설치하시는 것이 좋겠습니다.

최신 Adobe Reader 설치하기
http://get.adobe.com/kr/reader/


더불어 악성코드 제작자가 지속적으로 변종 형태를 제작하여 유포한 이력을 보았을 때 최신 보안 취약점으로 변경하거나 EXE, ZIP 형태의 첨부파일을 유포할 가능성이 높습니다.

유사 이메일을 수신할 경우 각별히 주의하시는 것이 좋겠습니다.



Posted by viruslab
인터넷세상2009.06.26 09:00


삼바군단 브라질이 남아프리카공화국을 꺾고 2009 국제축구연맹(FIFA) 컨페더레이션스컵 축구 결승전에 진출했습니다.

브라질은 오는 29일 미국과 결승전을 치르게 됩니다. 기대되네요.

사용자 삽입 이미지



Posted by viruslab