태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.26 14:52


지난 2005년 경 부터 일부 피싱에 사용된 Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) 방식을 이용하여 악성코드 확장자를 다른 형태로 보이도록 하는 형태의 악성코드가 지속적으로 목격되고 있습니다.

Phishing fun with Unicode
http://nedbatchelder.com/blog/200504/phishing_fun_with_unicode.html
http://packetstormsecurity.org/papers/general/righttoleften-override.pdf

많은 인터넷 사용자들에게 악성코드가 실행파일(EXE)형태로 배포된다는 것이 많이 익숙해 지면서, 악성코드 제작자들도 다양한 방식으로 사용자를 현혹시키고자 노력하고 있네요.

예전에는 파일명에 빈 공간을 다수 삽입하거나, 2중 확장자를 통해서 "확장명 숨기기" 기능이 적용된 사용자들을 속이고자 시도했습니다.

5월 경 부터 발견되고 있는 새로운 방식은 확장자가 문서파일인 .DOC 처럼 보이지만 실제로는 EXE 나 SCR 등의 실행 파일인 경우가 보고되고 있으며, 유니코드를 파일명에 적용해서 사용자가 문서 파일로 오인하도록 조작한 것이 큰 특징입니다.

유니코드
U+202E e2 80 ae RIGHT-TO-LEFT OVERRIDE

http://www.utf8-chartable.de/unicode-utf8-table.pl?start=8192&number=128
http://www.tachyonsoft.com/uc0020.htm

악성코드 파일은 보통 ZIP 으로 압축되어 있는 상태로 유포가 되며, 불특정 상대방에게 정상적인 문서 파일처럼 교묘하게 조작하여 이메일에 첨부하여 실행을 유도하는 방식을 사용한다.

아래는 최근에 이러한 악성코드를 첨부하여 보고된 이메일 형태입니다.

사용자 삽입 이미지

hoostory.kr


최근까지 발견된 형태는 다음과 같다.

사용자 삽입 이미지
사용자 삽입 이미지

압축되어 있는 파일을 해제하면 폴더옵션에서 확장명 숨기기 기능을 해제하여도 윈도우 탐색기에서는 다음과 같이 확장자가 .doc 또는 .txt 로만 보여진다.

사용자 삽입 이미지

알려진 파일 형식의 파일 확장명 숨기기 부분을 체크하지 않은 상태이다. 하지만 다음과 같이 워드 파일처럼 확장자가 보여진다. 그러나 큰 아이콘 보기 기능 등을 통해서 확인할 경우 "화면 보호기" 라는 점을 확인할 수 있다.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

Command Processor 에서 해당 파일명을 확인하면 다음과 같다.

사용자 삽입 이미지
사용자 삽입 이미지


.txt 파일로 위장한 경우는 거꾸로 표기되어도 txt 이기 때문에 아래와 같이 txt.scr 이 보여진다. 악성코드는 이외에도 확장자를 다양하게 조작하여 악용할 수 있다.

이처럼 이메일로 문서파일(.txt, .doc, .pdf...) 등으로 위장하여 EXE, SCR 등의 실행파일 확장자를 유포하는 형태가 증가할 것으로 예상되므로, 사용자분들은 압축 해제 후에 첨부되어 있던 문서 파일 등이 혹시 위장 조작된 악성 실행파일은 아닌지 각별히 주의하셔야 겠습니다.

마이크로 소프트사에서는 이러한 유니코드를 통한 확장자 조작이 이루어지지 않도록 보안 패치를 하는 것이 필요해 보입니다.

http://www.virustotal.com/analisis/9dc9699066847e1b2adef6d8b17782699d9bcb43ef7902cee071311ef53e2044-1280209614

http://www.virustotal.com/analisis/8964d7fa8673d6b25d649b9e123d578844227c07ecea444f5997eae06771779a-1275022625

http://www.virustotal.com/analisis/f56b403b304944d56f676422fc39e0997ec45d4410cc78d9db25f2d0520d1e4c-1280209738
 



 

Posted by viruslab