광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2)
http://core.ahnlab.com/193
상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다.
이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.
<삽입된 iframe에 의해 연결된 페이지 정보>
상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다.
<최종 디코딩 된 악성 스크립트>
최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다.
<취약점을 이용한 파일 및 다운로드 된 파일>
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.
game.exe
-> Win-Trojan/Agent.26112.RQ
Notes10.pdf
-> PDF/Exlpoit
Applet10.html
->HTML/Agent
-> Win-Trojan/Agent.26112.RQ
Notes10.pdf
-> PDF/Exlpoit
Applet10.html
->HTML/Agent
다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.