트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.
해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다.
해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다.
그러나 해당 파일은 취약점이 존재하지 않는 정상 파일이며 시스템 사용자 모르게 다음의 파일들을 시스템에 생성하고 실행하게 된다.
C:Documents and SettingsTesterLocal SettingsBrief introduction of Kim Jong-il.pdf (45,572 바이트)
C:Documents and SettingsTesterLocal Settingsabc.scr (156,672 바이트)
생성된 파일 중 Brief introduction of Kim Jong-il.pdf(45,572 바이트)는 위 이미지와 동일한 정상 파일이며, 동반 생성된 abc.scr(156,672 바이트)가 악의적인 기능을 수행하게 된다.
생성된 abc.scr(156,672 바이트)는 다음의 파일을 다시 생성하게 된다.
C:Documents and SettingsTesterLocal SettingsApplication DataGoogleUpdate.exe(91,136 바이트)
그리고 다음의 레지스트리 키 값을 생성하여 시스템이 재부팅 되어도 자동 실행 되도록 구성하게 된다.
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
GoogleUpd = “”C:Documents and Settings[사용자 계정명]Local SettingsApplication DataGoogleUpdate.exe””
abc.scr(156,672 바이트)에의해 생성된 GoogleUpdate.exe(91,136 바이트)는 감염된 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 수행하게 된다.
그 후 다음의 시스템들 중 하나로 역접속(Reverse Connection)을 수행하여 공격자가 지정한 명령들을 수행하게 된다.
173.***.206.***
173.***.207.***
GoogleUpdate.exe(91,136 바이트)는 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.
실행 중 프로세스 확인 및 강제 종료
CMD Shall 명령 수행
파일 업로드 및 다운로드, 삭제
이 외에 트렌드 마이크로에서는 아래 이미지와 같이 마이크로소프트 워드(Microsoft Word)의 “Microsoft Security Bulletin MS10-087 – Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)” 취약점을 악용해 유포된 악성코드도 존재하는 것으로 밝히고 있다.
이 번 김정일 위원장의 사망을 악용해 유포된 취약점이 존재하는 전자문서와 악성코드들은 모두 2011.12.21.01 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.
PDF/Cve-2010-2883
Dropper/Cve-2010-3333
SWF/Cve-2011-0611
Win-Trojan/Infostealer.156672
Win-Trojan/PcClinet.80384
Win-Trojan/PcClinet.118784
Categories:악성코드 정보