1. 서론
외국에서 아크로뱃 리더의 취약점을 이용한 악성 스펨메일 유포사례가 발견되어 사용자의 주의가 요구됩니다. 참고로 현재까지 안철수연구소로 접수된 피해사례는 없습니다.
2. 감염 시 증상
메일에 첨부된 PDF파일을 실행할 경우 Acrobat PDF 문서의 취약점을 이용하여 Stack Overflow를 발생시켜 내부의 쉘코드를 실행합니다.
* 취약점 분석정보 : http://blog.ahnlab.com/asec/399
실행된 쉘코드에 의해서 문서 내부에 존재하는 PE파일을 생성하여 실행합니다.
[파일생성]
%Temp%\A9RA7C6.tmp
%Temp%\svchost.exe (쉘코드로부터 생성된 실행파일)
%Temp%\invitation.pdf (정상 PDF)
%실행위치%\iso88591 (쉘코드내용)
%WINDIR%\midimap.dll (svchost.exe로부터 생성된 DLL파일)
[네트워크접속]
svchost.exe로부터 생성된 midimap.dll로부터 외부연결시도
phile.****.org:9000
이후 정상 PDF인 invitation.pdf를 화면에 출력하여 사용자로 하여금 정상 PDF 문서로 인식될 수 있도록 위장합니다.
[그림 1] invitation.pdf실행 시
3. 조치방법
해당 악성코드는 V3의 2010.11.09.02부터 PDF/Cve-2010-2883로 진단 및 치료가 가능하므로 만약 감염된 경우에는 V3제품을 최신 엔진으로 업데이트하신 후에 검사 및 치료가 가능합니다.
4. 예방방법
(1) 사용 중인 백신 프로그램은 항상 최신 엔진으로 유지 및 실시간 감시 기능을 사용해야 합니다
(2) 메일로 유포되었던 이번 경우는 사용자의 호기심을 자극하여 실행을 유도하므로 반드시 수상한 메일은
열람하지 말고 삭제해야합니다.
'악성코드 정보' 카테고리의 다른 글
| 사회적 이슈를 이용한 SEO 악성코드 유포 주의 (0) | 2010.11.23 |
|---|---|
| 익스플로러 제로데이 취약점을 이용한 악성코드 유포 (0) | 2010.11.12 |
| "16th 아시안 게임" 관련 문서로 위장한 악성코드 주의! (3) | 2010.11.11 |
| 'G20 Issues paper' 제목의 악성코드 링크된 스팸메일 주의 (1) | 2010.11.10 |
| 파일공유 사이트를 통해 전파된 온라인게임핵 악성코드 (2) | 2010.11.05 |
댓글