2010년 5월 9일 새벽을 즈음하여 해외 보안 업체인 시만텍(Symantec)에서 보내는 것으로 위장한 보안 위협 경보와 관련한 메일에 첨부된 마이크로소프트(Microsoft)의 워드(Word) 문서에 악성코드가 패키지 개체로 포함되어 유포된 사실이 발견되었다.
이번 보안 위협 경보 관련 메일의 첨부 파일로 존재하는 워드 문서에 포함된 악성코드는 아래와 같은 메일 형태의 전자 메일의 첨부 파일로 유포되었다.
해당 메일의 제목은 아래 알려진 제목 중 하나를 사용하며 메일 제목과 다르게 메일 본문에는 제품 사용과 관련한 저작권 위반이 적발 되었으며 2010년 5월 10일까지 회신을 주지 않을 경우 법적인 대응을 하겠다는 내용을 포함하고 있다.
그리고 첨부된 워드 파일을 참고하는 내용으로 해당 워드 파일을 실행 할 것을 유도하고 있다.
* 발신자
rcartwrightio@symantec.com
* 메일 제목
Urgent Security Update
Important Security Patch
Important Security Update
Security Update
IT Security Advisory
Important Worm Patch
* 메일 본문
To whom it may concern,
It has come to our attention that you have made an unauthorized use of my copyrighted work
in the preparation of a work derived therefrom. We have reserved all rights in the Work,
which was first published in 2008, and we have registered the copyright.
The copyrighted images which appear on your web site, are essentially identical to the Work and clearly used
the Work as its basis.
You neither asked for nor received permission to use the Work as the basis for it nor to make or
distribute copies of it. Therefore, we believe you have willfully infringed our rights under 17 USC Section 101,
et seq. and could be liable for statutory damages as high as $100,000.
I demand that you immediately cease the use and distribution of all infringing works
derived from the Work, and all copies of it, and that you deliver to us all unused,
undistributed copies of it, or destroy such copies immediately, and that you desist from
this or any other infringement of my rights in the future. If we have not received an affirmative
response from you by 10/05/2010 indicating that you have fully complied with these requirements,
we will be taking the full legal remedies available to rectify this situation.
Please view the attached file for a copy of the suit documents.
Sincerely,
* 첨부 파일
임의의 문자열.doc
해당 메일에 첨부된 워드 파일을 다운로드 하게 되면 아래 이미지와 같이 임의의 문자열을 가지고 있는 정상적인 214,917 바이트의 워드 파일이다.
해당 워드 파일 자체는 이제까지 알려진 문서 파일의 취약점을 악용하는 악성코드 형태가 아니라 정상적인 파일이다.
그리고 해당 워드 파일을 열어보게 되면 아래 이미지와 같이 파일 내부에 어도비 아크로뱃(Adobe Acrobat) 문서 포맷인 PDF 파일의 아이콘을 가진 파일이 포함되어 있으며 이를 더블 클릭하여 실행할 것을 표기하고 있다.
그러나 해당 워드 문서에 패키지 개체로 포함되어 있는 PDF 파일을 임의로 워드 문서에서 분리하여 확인 해보면 아래 이미지에서와 같이 파일의 시작점(Entry Point)이 401108h인 비주얼 베이직(Visual Basic)으로 제작된 실행 파일이다.
해당 워드 파일에서 표기하고 있는 것과 동일하게 해당 PDF 아이콘을 더블 클릭하게 되면 아래 이미지와 같이 EXE 파일을 실행할 것인가라는 보안 경고 창이 생성된다.
해당 보안 경고 창에서 “실행”을 클릭하게 될 경우에는 임의로 윈도우 시스템에 포함되어 있는 정상 svchost.exe 파일을 실행 한 후 악의적인 코드 일부를 해당 정상 svchost.exe 파일의 메모리 영역에 일부 코드를 삽입하게 된다. 이와 함께 하위 프로세스로 인터넷 익스플로러(Internet Explorer)를 실행 시켜 중국 남부 지방에 위치한 시스템으로 접속을 시도하게 된다.
그리고 실행 중인 해당 윈도우 시스템에서 보안 제품의 프로세스가 발견되면 이를 강제 종료를 시도하며 시스템의 하드웨어 정보, IP 주소, 로그인된 사용자 계정명 등의 사용자 개인 정보들을 수집하게 된다. 이번 워드 문서 내부에 패키지 개체로 포함되어 있는 악성코드들은 V3 제품군에서 다음과 같이 진단한다. Dropper/Rtfexe
Categories:악성코드 정보