http://core.ahnlab.com/193
상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다.
이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.
<삽입된 iframe에 의해 연결된 페이지 정보>
상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다.
<최종 디코딩 된 악성 스크립트>
최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다.
<취약점을 이용한 파일 및 다운로드 된 파일>
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.
game.exe
-> Win-Trojan/Agent.26112.RQ
Notes10.pdf
-> PDF/Exlpoit
Applet10.html
->HTML/Agent
-> Win-Trojan/Agent.26112.RQ
Notes10.pdf
-> PDF/Exlpoit
Applet10.html
->HTML/Agent
다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.
'악성코드 정보' 카테고리의 다른 글
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) (0) | 2010.07.01 |
---|---|
V3 제품 업데이트 시 "업데이트 중 오류가 발생하였습니다. (-1)" 메세지가 나오는 경우 (53) | 2010.06.30 |
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (1) (0) | 2010.06.29 |
네이트온 쪽지를 통해 전파되는 악성코드 (0) | 2010.06.28 |
html 파일이 첨부된 스팸메일 주의 (0) | 2010.06.23 |
댓글