본문 바로가기

악성코드 정보

광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2)


http://core.ahnlab.com/193


상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 

이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.


<삽입된 iframe에 의해 연결된 페이지 정보>


상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 



<최종 디코딩 된 악성 스크립트>

최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 


<취약점을 이용한 파일 및 다운로드 된 파일>
 
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.

game.exe
 -> Win-Trojan/Agent.26112.RQ
Notes10.pdf
 -> PDF/Exlpoit
Applet10.html
 ->HTML/Agent



다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.