태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.08.18 16:59


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046
- invoice.html : http://viruslab.tistory.com/2047

html 파일 형태로 첨부되어 악성코드 이메일이 지속적으로 유포되고 있습니다.

악성코드 유포자는 이 방식을 통해서 허위(가짜) 백신 등을 함께 배포하기도 하며, 비아그라 등 특정 제품 광고를 통해서 수익 모델을 창출하고 있는 상태입니다.

2010년 08월 18일 오후에 다음과 같은 형태가 추가로 국내에 유입되어 전파되고 있으며, 메일 제목과 본문 등이 다른 형태가 다수 발견되고 있습니다.


그 동안 정상적으로 작동(?)이 되지 않아서 계속 증거를 잡지 못했던 JAVA Applet 취약점 파일도 드디어 단서를 잡았네요.

먼저 조금 전 국내에 유입된 이메일 내용은 아래와 같습니다.

제목 :
Tracking # and Invoice

내용 :
CIRCUIT SPECIALISTS, INC.                               TRACK                                 Date-Wed, 18 Aug 2010 12:21:06 +0530   Ref# TRACK
                                                                                             Time-15:35:42   Page    1
Ship Date            Wed, 18 Aug 2010 12:21:06 +0530        THRU Wed, 18 Aug 2010 12:21:06 +0530

The attached file is a copy of your invoice.  It is best viewed with
notepad or some other text viewer that does not try to format the text.

Date Shipped  Our Ref.   Your Ref.       Tracking #
Wed, 18 Aug 2010 12:21:06 +0530          255596 NET 52777       1Z8771870342348699

첨부파일 :
invoice.html


사용자 삽입 이미지

첨부파일은 아래와 같은 형식으로 구성되어 있으며, 또 다른 특정 도메인(일부 모자이크 처리)으로 연결을 유도합니다.

사용자 삽입 이미지

연결이 이루어지다면 다음과 같은 링크(일부 제거)가 추가로 작동되고, 자바 취약점 파일이 실행됩니다.

사용자 삽입 이미지

showtopic 관련 html 파일 진단 현황 (실제 JAVA 코드가 포함되어 있음)

http://www.virustotal.com/file-scan/report.html?id=bb815bcf0d383affd9eb65c55e084981c429b12b3a984d9dbf6e048a292501d3-1282118580

Antivirus Version Last Update Result
AhnLab-V3 2010.08.18.00 2010.08.17 -
AntiVir 8.2.4.34 2010.08.17 -
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.18 -
Avast 4.8.1351.0 2010.08.17 -
Avast5 5.0.332.0 2010.08.17 -
AVG 9.0.0.851 2010.08.17 -
BitDefender 7.2 2010.08.18 -
CAT-QuickHeal 11.00 2010.08.18 -
ClamAV 0.96.2.0-git 2010.08.18 -
Comodo 5781 2010.08.18 -
DrWeb 5.0.2.03300 2010.08.18 -
Emsisoft 5.0.0.39 2010.08.18 -
eSafe 7.0.17.0 2010.08.17 -
eTrust-Vet 36.1.7798 2010.08.18 -
F-Prot 4.6.1.107 2010.08.18 -
F-Secure 9.0.15370.0 2010.08.18 -
Fortinet 4.1.143.0 2010.08.16 -
GData 21 2010.08.18 -
Ikarus T3.1.1.88.0 2010.08.18 -
Jiangmin 13.0.900 2010.08.18 -
Kaspersky 7.0.0.125 2010.08.18 -
McAfee 5.400.0.1158 2010.08.18 -
Microsoft 1.6004 2010.08.18 -
NOD32 5374 2010.08.17 -
Norman 6.05.11 2010.08.17 -
nProtect 2010-08-18.01 2010.08.18 -
Panda 10.0.2.7 2010.08.17 -
PCTools 7.0.3.5 2010.08.18 -
Prevx 3.0 2010.08.18 -
Rising 22.61.02.01 2010.08.18 -
Sophos 4.56.0 2010.08.18 -
Sunbelt 6751 2010.08.18 -
SUPERAntiSpyware 4.40.0.1006 2010.08.18 -
Symantec 20101.1.1.7 2010.08.18 -
TheHacker 6.5.2.1.350 2010.08.18 -
TrendMicro 9.120.0.1004 2010.08.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.18 -
VBA32 3.12.14.0 2010.08.17 -
ViRobot 2010.8.16.3990 2010.08.18 -
VirusBuster 5.0.27.0 2010.08.17 -

js.php 파일

http://www.virustotal.com/file-scan/report.html?id=79247ae54b52f7acf67157516e45ca555318ed8b427108f0a70ab09bfc0d53c6-1281566841

Antivirus Version Last Update Result
AhnLab-V3 2010.08.12.00 2010.08.11 -
AntiVir 8.2.4.34 2010.08.11 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.11 -
Avast 4.8.1351.0 2010.08.11 -
Avast5 5.0.332.0 2010.08.11 -
AVG 9.0.0.851 2010.08.11 -
BitDefender 7.2 2010.08.11 -
CAT-QuickHeal 11.00 2010.08.11 -
ClamAV 0.96.0.3-git 2010.08.11 -
Comodo 5714 2010.08.11 -
DrWeb 5.0.2.03300 2010.08.11 -
Emsisoft 5.0.0.37 2010.08.11 -
eSafe 7.0.17.0 2010.08.11 -
eTrust-Vet 36.1.7781 2010.08.11 -
F-Prot 4.6.1.107 2010.08.11 JS/Crypted.ID.gen
F-Secure 9.0.15370.0 2010.08.11 -
Fortinet 4.1.143.0 2010.08.11 -
GData 21 2010.08.12 -
Ikarus T3.1.1.88.0 2010.08.11 -
Jiangmin 13.0.900 2010.08.10 -
Kaspersky 7.0.0.125 2010.08.11 -
McAfee 5.400.0.1158 2010.08.12 -
McAfee-GW-Edition 2010.1 2010.08.12 -
Microsoft 1.6004 2010.08.12 -
NOD32 5358 2010.08.11 JS/Kryptik.L.Gen
Norman 6.05.11 2010.08.11 -
nProtect 2010-08-11.02 2010.08.11 -
Panda 10.0.2.7 2010.08.11 -
PCTools 7.0.3.5 2010.08.11 -
Prevx 3.0 2010.08.12 -
Rising 22.60.02.04 2010.08.11 -
Sophos 4.56.0 2010.08.12 -
Sunbelt 6719 2010.08.11 -
SUPERAntiSpyware 4.40.0.1006 2010.08.11 -
Symantec 20101.1.1.7 2010.08.11 -
TheHacker 6.5.2.1.343 2010.08.11 -
TrendMicro 9.120.0.1004 2010.08.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.12 -
VBA32 3.12.14.0 2010.08.11 -
ViRobot 2010.8.9.3978 2010.08.11 -
VirusBuster 5.0.27.0 2010.08.11 -


이후에 JAVA 취약점 파일 실행과 관련된 윈도우 창이 나타납니다.

사용자 삽입 이미지

상기 화면에서 연결되는 html 코드에는 JAVA Applet 코드가 포함되어 있으며, exe.php 파일에 의해서 다음과 같이 EXE 형식의 악성코드가 포함되어 있는 것을 확인하였습니다.

사용자 삽입 이미지

특이하게도 해당 링크는 한번 연결이 된 이후에는 재연결이 정상적으로 작동하지 않도록 되어 있고, 그에 따라 분석가의 확인하는데 매우 어려운 부분이 존재하게 됩니다.

다운로드되는 실제 EXE 파일은 아래와 같고, 외산 허위 Anti-Virus 제품류 입니다. (Fake AV)

사용자 삽입 이미지

또한, js.php 로 연결되는데, 이 파일에는 Base64 코드가 포함되어 있습니다.

사용자 삽입 이미지


현재 이러한 html 첨부파일 형식의 이메일 등이 JAVA 취약점이나 PDF 취약점을 통해서 지속적으로 악성코드를 유포하고 있습니다.

각별한 주의가 필요하겠습니다.

자바 애플릿 취약점 추가 정보
Unruy downloader uses CVE-2010-0094 Java vulnerability
http://blogs.technet.com/b/mmpc/archive/2010/08/17/unruy-downloader-uses-cve-2010-0094-java-vulnerability.aspx


더불어 아래와 같은 형태도 유포되고 있으며, EXE 나 ZIP 파일을 직접 첨부한 형태도 발견되고 있습니다.

 

Posted by viruslab
바이러스분석2009.09.02 09:52



ASCII - U E s

ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz 0123456789+/=
012345678901234567890123456789012345 67890123456789012345678901 2345678901234

Decode

U - 20(D) - 00010100(B)
E -  4(D) - 00000100(B)
s - 44(D) - 00101100(B)

00010100 00000100 00101100
010100 000100 101100
010100000100101100
01010000 01001011 00
0101 0000 0100 1011 00
5 0 4 B 0
P K

최종적으로 PK 라는 값을 얻을 수 있다.


Posted by viruslab
TAG base64
보안관련소식2009.08.15 09:28


트위터에 BASE64 코드를 넣고 RSS로 명령을 전송하는 방식이네요.

BASE64 디코딩 : http://viruslab.tistory.com/137

http://www.threatexpert.com/report.aspx?md5=9a546564bf213ff866f48848f0f14027

http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/

사용자 삽입 이미지

http://www.virustotal.com/analisis/6a6c334ffe5c8e60b1de37582b73a642c68d2b02b0284000d24c93f899122139-1249801350

http://www.virustotal.com/analisis/14fd37ef063f3c13d667e7483803a17ec493395a0d0e0365da4bed60272f311e-1250187288

$ echo "aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==" | openssl base64 -d
hxxp://bit.ly/R6STV hxxp://bit.ly/2KoHo

$ unzip out.qqq
Archive: out.qqq
inflating: gbpm.dll
inflating: gbpm.exe
$ openssl md5 gbpm.*
MD5(gbpm.dll)= ceb8d7fd74da0a187cc39ced4550ddb4
MD5(gbpm.exe)= a5cc8140e783190efb69d38c2be4393f

사용자 삽입 이미지


Posted by viruslab