2011년 12월 23일 국내에서 제우스 봇(Zeus Bot) 유포를 위해 여러가지 어플리케이션들의 취약점 악용 웹 페이지 접속을 유도하는 전자 메일이 발견되었다.


이 번에 유포된 해당 전자 메일의 제목은 "Fwd : I'm in trouble" 이며 본문은 아래와 같다.   

I was at a party, got drunk, couldn't drive the car, somebody gave me a lift on my car, and crossed on the red light!
I've just got the pictures, maybe you know him???
Here is the photo

I need to find him urgently!

Thank you
<보낸 사람>


유포된 전자 메일의 형태는 아래 이미지와 같다.


유포되는 메일 형식은 해외 보안 업체인 컴터치(Commtouch) 블로그 "The “I’m in trouble” massive malware outbreak"를 참고 할 경우 다른 유사 변형들도 상당수 존재하는 것으로 파악 된다. 

메일 수신자가 전자 메일 본문의 'Here is the photo'를 클릭하면 악성코드 감염을 시도하는 특정 웹 페이지로 연결된다.

연결된 해당 웹 페이지는 다른 웹 페이지를 로딩하는 것으로 위장한 'Please wait page is loading...'이 뜨고 다양한 어플리케이션들의 취약점을 악용해 악성코드를 감염을 시도 한다.
 


해당 웹 페이지에 존재하는 난독화된 스크립트를 풀어보면 "Microsoft 보안 권고 (2219475) Windows 도움말 및 지원 센터의 취약점으로 인한 원격 코드 실행 문제점"과 함께 자바(Java), 어도비 플래쉬(Adobe Flash)등에 존재하는 다양한 취약점들을 악용해 악성코드 감염을 시도하고 있다.


해당 취약점들을 통해 다운로드되는 파일은 인터넷 뱅킹 정보 유출을 위해 제작된 제우스 봇(Zeus Bot) 악성코드이다.

이번에 발견된 전자메일을 통해 감염을 시도한 제우스 봇 트로이 목마는 2011.12.16.00 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Obfuscated.Gen

신고
Creative Commons License
Creative Commons License
Posted by mstoned7