소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) main.html의 Flash Player 버전체크 루틴은 아래와 같다. switch (VSwf) { case “WIN 10,3,181,23”: document.writeln(““); break case “WIN 10,3,181,22”: document.writeln(““); break case “WIN 10,3,181,14”: document.writeln(““); break default: document.writeln(““); } Flash Player버전이 10,3,181,23 / 10,3,181,22 / 10,3,181,14일 경우 fnew.html을 다운로드, 그외 버전은 fold.html을 다운로드 하도록 되어 있다. main.html – fnew.html & head.swf 분석 fnew.html의 내용을 살펴보면 아래처럼 head.swf 파일에 info=라는 인자를 사용하여 특정 데이터를 다운로드하는 것으로 보인다. [그림 1]fnew.html & head.swf의 동작구조 head.swf의 내부를 살펴보면 Flash Player의 버전을 체크하여 취약점 및 Shellcode가 동작하는데 필요한 주소를 설정하는 것으로 보인다. 참고로 head.swf는 CVE-2011-2110취약점을 사용하여 악성코드를 실행한다. //—- Flash Player의 버전체크 —-//…