태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.08.18 16:59


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046
- invoice.html : http://viruslab.tistory.com/2047

html 파일 형태로 첨부되어 악성코드 이메일이 지속적으로 유포되고 있습니다.

악성코드 유포자는 이 방식을 통해서 허위(가짜) 백신 등을 함께 배포하기도 하며, 비아그라 등 특정 제품 광고를 통해서 수익 모델을 창출하고 있는 상태입니다.

2010년 08월 18일 오후에 다음과 같은 형태가 추가로 국내에 유입되어 전파되고 있으며, 메일 제목과 본문 등이 다른 형태가 다수 발견되고 있습니다.


그 동안 정상적으로 작동(?)이 되지 않아서 계속 증거를 잡지 못했던 JAVA Applet 취약점 파일도 드디어 단서를 잡았네요.

먼저 조금 전 국내에 유입된 이메일 내용은 아래와 같습니다.

제목 :
Tracking # and Invoice

내용 :
CIRCUIT SPECIALISTS, INC.                               TRACK                                 Date-Wed, 18 Aug 2010 12:21:06 +0530   Ref# TRACK
                                                                                             Time-15:35:42   Page    1
Ship Date            Wed, 18 Aug 2010 12:21:06 +0530        THRU Wed, 18 Aug 2010 12:21:06 +0530

The attached file is a copy of your invoice.  It is best viewed with
notepad or some other text viewer that does not try to format the text.

Date Shipped  Our Ref.   Your Ref.       Tracking #
Wed, 18 Aug 2010 12:21:06 +0530          255596 NET 52777       1Z8771870342348699

첨부파일 :
invoice.html


사용자 삽입 이미지

첨부파일은 아래와 같은 형식으로 구성되어 있으며, 또 다른 특정 도메인(일부 모자이크 처리)으로 연결을 유도합니다.

사용자 삽입 이미지

연결이 이루어지다면 다음과 같은 링크(일부 제거)가 추가로 작동되고, 자바 취약점 파일이 실행됩니다.

사용자 삽입 이미지

showtopic 관련 html 파일 진단 현황 (실제 JAVA 코드가 포함되어 있음)

http://www.virustotal.com/file-scan/report.html?id=bb815bcf0d383affd9eb65c55e084981c429b12b3a984d9dbf6e048a292501d3-1282118580

Antivirus Version Last Update Result
AhnLab-V3 2010.08.18.00 2010.08.17 -
AntiVir 8.2.4.34 2010.08.17 -
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.18 -
Avast 4.8.1351.0 2010.08.17 -
Avast5 5.0.332.0 2010.08.17 -
AVG 9.0.0.851 2010.08.17 -
BitDefender 7.2 2010.08.18 -
CAT-QuickHeal 11.00 2010.08.18 -
ClamAV 0.96.2.0-git 2010.08.18 -
Comodo 5781 2010.08.18 -
DrWeb 5.0.2.03300 2010.08.18 -
Emsisoft 5.0.0.39 2010.08.18 -
eSafe 7.0.17.0 2010.08.17 -
eTrust-Vet 36.1.7798 2010.08.18 -
F-Prot 4.6.1.107 2010.08.18 -
F-Secure 9.0.15370.0 2010.08.18 -
Fortinet 4.1.143.0 2010.08.16 -
GData 21 2010.08.18 -
Ikarus T3.1.1.88.0 2010.08.18 -
Jiangmin 13.0.900 2010.08.18 -
Kaspersky 7.0.0.125 2010.08.18 -
McAfee 5.400.0.1158 2010.08.18 -
Microsoft 1.6004 2010.08.18 -
NOD32 5374 2010.08.17 -
Norman 6.05.11 2010.08.17 -
nProtect 2010-08-18.01 2010.08.18 -
Panda 10.0.2.7 2010.08.17 -
PCTools 7.0.3.5 2010.08.18 -
Prevx 3.0 2010.08.18 -
Rising 22.61.02.01 2010.08.18 -
Sophos 4.56.0 2010.08.18 -
Sunbelt 6751 2010.08.18 -
SUPERAntiSpyware 4.40.0.1006 2010.08.18 -
Symantec 20101.1.1.7 2010.08.18 -
TheHacker 6.5.2.1.350 2010.08.18 -
TrendMicro 9.120.0.1004 2010.08.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.18 -
VBA32 3.12.14.0 2010.08.17 -
ViRobot 2010.8.16.3990 2010.08.18 -
VirusBuster 5.0.27.0 2010.08.17 -

js.php 파일

http://www.virustotal.com/file-scan/report.html?id=79247ae54b52f7acf67157516e45ca555318ed8b427108f0a70ab09bfc0d53c6-1281566841

Antivirus Version Last Update Result
AhnLab-V3 2010.08.12.00 2010.08.11 -
AntiVir 8.2.4.34 2010.08.11 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.11 -
Avast 4.8.1351.0 2010.08.11 -
Avast5 5.0.332.0 2010.08.11 -
AVG 9.0.0.851 2010.08.11 -
BitDefender 7.2 2010.08.11 -
CAT-QuickHeal 11.00 2010.08.11 -
ClamAV 0.96.0.3-git 2010.08.11 -
Comodo 5714 2010.08.11 -
DrWeb 5.0.2.03300 2010.08.11 -
Emsisoft 5.0.0.37 2010.08.11 -
eSafe 7.0.17.0 2010.08.11 -
eTrust-Vet 36.1.7781 2010.08.11 -
F-Prot 4.6.1.107 2010.08.11 JS/Crypted.ID.gen
F-Secure 9.0.15370.0 2010.08.11 -
Fortinet 4.1.143.0 2010.08.11 -
GData 21 2010.08.12 -
Ikarus T3.1.1.88.0 2010.08.11 -
Jiangmin 13.0.900 2010.08.10 -
Kaspersky 7.0.0.125 2010.08.11 -
McAfee 5.400.0.1158 2010.08.12 -
McAfee-GW-Edition 2010.1 2010.08.12 -
Microsoft 1.6004 2010.08.12 -
NOD32 5358 2010.08.11 JS/Kryptik.L.Gen
Norman 6.05.11 2010.08.11 -
nProtect 2010-08-11.02 2010.08.11 -
Panda 10.0.2.7 2010.08.11 -
PCTools 7.0.3.5 2010.08.11 -
Prevx 3.0 2010.08.12 -
Rising 22.60.02.04 2010.08.11 -
Sophos 4.56.0 2010.08.12 -
Sunbelt 6719 2010.08.11 -
SUPERAntiSpyware 4.40.0.1006 2010.08.11 -
Symantec 20101.1.1.7 2010.08.11 -
TheHacker 6.5.2.1.343 2010.08.11 -
TrendMicro 9.120.0.1004 2010.08.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.12 -
VBA32 3.12.14.0 2010.08.11 -
ViRobot 2010.8.9.3978 2010.08.11 -
VirusBuster 5.0.27.0 2010.08.11 -


이후에 JAVA 취약점 파일 실행과 관련된 윈도우 창이 나타납니다.

사용자 삽입 이미지

상기 화면에서 연결되는 html 코드에는 JAVA Applet 코드가 포함되어 있으며, exe.php 파일에 의해서 다음과 같이 EXE 형식의 악성코드가 포함되어 있는 것을 확인하였습니다.

사용자 삽입 이미지

특이하게도 해당 링크는 한번 연결이 된 이후에는 재연결이 정상적으로 작동하지 않도록 되어 있고, 그에 따라 분석가의 확인하는데 매우 어려운 부분이 존재하게 됩니다.

다운로드되는 실제 EXE 파일은 아래와 같고, 외산 허위 Anti-Virus 제품류 입니다. (Fake AV)

사용자 삽입 이미지

또한, js.php 로 연결되는데, 이 파일에는 Base64 코드가 포함되어 있습니다.

사용자 삽입 이미지


현재 이러한 html 첨부파일 형식의 이메일 등이 JAVA 취약점이나 PDF 취약점을 통해서 지속적으로 악성코드를 유포하고 있습니다.

각별한 주의가 필요하겠습니다.

자바 애플릿 취약점 추가 정보
Unruy downloader uses CVE-2010-0094 Java vulnerability
http://blogs.technet.com/b/mmpc/archive/2010/08/17/unruy-downloader-uses-cve-2010-0094-java-vulnerability.aspx


더불어 아래와 같은 형태도 유포되고 있으며, EXE 나 ZIP 파일을 직접 첨부한 형태도 발견되고 있습니다.

 

Posted by viruslab
신종악성코드정보2010.08.18 09:20


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046

html 파일 형태로 첨부되어 악성코드 이메일이 지속적으로 유포되고 있습니다.

악성코드 유포자는 이 방식을 통해서 허위(가짜) 백신 등을 함께 배포하기도 하며, 비아그라 등 특정 제품 광고를 통해서 수익 모델을 창출하고 있는 상태입니다.

2010년 08월 18일 다음과 같은 형태가 추가로 국내에 유입되어 전파되고 있으며, 메일 제목과 본문 등이 다른 형태가 다수 발견되고 있습니다.

제목 :
Good music

내용 :
It has a beat, you can dance to it - I'd give it an eight.

<<Second chord sounds in world's longest lasting concert - Yahoo! News>>


************************************************************************
This e-mail and any of its attachments may contain Exelon Corporation
proprietary information, which is privileged, confidential, or subject
to copyright belonging to the Exelon Corporation family of Companies.
This e-mail is intended solely for the use of the individual or entity
to which it is addressed. If you are not the intended recipient of this
e-mail, you are hereby notified that any dissemination, distribution,
copying, or action taken in relation to the contents of and attachments
to this e-mail is strictly prohibited and may be unlawful. If you have
received this e-mail in error, please notify the sender immediately and
permanently delete the original and any copy of this e-mail and any
printout. Thank You.
************************************************************************

첨부파일 :
Second chord sounds in world's longest lasting concert - Yahoo! News.html



첨부파일이 실행되면 다음과 같이 특정 Applet10.html 취약점 파일이 실행되면서 악성코드에 감염될 수 있으며, 특정 러시아 사이트 등으로 접속이 되면서 또 다른 Exploit Code 등에 노출될 가능성이 높습니다.


자바 애플릿 취약점 추가 정보
Unruy downloader uses CVE-2010-0094 Java vulnerability
http://blogs.technet.com/b/mmpc/archive/2010/08/17/unruy-downloader-uses-cve-2010-0094-java-vulnerability.aspx

Posted by viruslab