노벨 평화상 초청 메일로 위장한 악성코드 발견

1. 서론
외국에서 아크로뱃 리더의 취약점을 이용한 악성 스펨메일  유포사례가 발견되어 사용자의 주의가 요구됩니다. 참고로 현재까지 안철수연구소로 접수된 피해사례는 없습니다.

2. 감염 시 증상
메일에 첨부된 PDF파일을 실행할 경우 Acrobat PDF 문서의 취약점을 이용하여 Stack Overflow를 발생시켜 내부의 쉘코드를 실행합니다.

* 취약점 분석정보 : http://blog.ahnlab.com/asec/399

실행된 쉘코드에 의해서 문서 내부에 존재하는 PE파일을 생성하여 실행합니다.

[파일생성]
%Temp%A9RA7C6.tmp
%Temp%svchost.exe (쉘코드로부터 생성된 실행파일)
%Temp%invitation.pdf (정상 PDF)
%실행위치%iso88591 (쉘코드내용)
%WINDIR%midimap.dll (svchost.exe로부터 생성된 DLL파일)

[네트워크접속]
svchost.exe로부터 생성된 midimap.dll로부터 외부연결시도

phile.****.org:9000

이후 정상 PDF인 invitation.pdf를 화면에 출력하여 사용자로 하여금 정상 PDF 문서로 인식될 수 있도록 위장합니다.

[그림 1] invitation.pdf실행 시

3. 조치방법
해당 악성코드는 V3의 2010.11.09.02부터 PDF/Cve-2010-2883로 진단 및 치료가 가능하므로 만약 감염된 경우에는 V3제품을 최신 엔진으로 업데이트하신 후에 검사 및 치료가 가능합니다.

4. 예방방법
(1) 사용 중인 백신 프로그램은 항상 최신 엔진으로 유지 및 실시간 감시 기능을 사용해야 합니다
(2) 메일로 유포되었던 이번 경우는 사용자의 호기심을 자극하여 실행을 유도하므로 반드시 수상한 메일은
     열람하지 말고 삭제해야합니다.

 

 

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments