위키리크스 (WikiLeaks) 관련 악성코드 !!

1. 서론
최근 폭로 전문 웹사이트로 알려진 위키리크스(WikiLeaks)의 사회적 이슈사항을 이용한 악성코드가 유포되고 있어 사용자들의 주의가 요구됩니다.

※ 위키리크스(WikiLeaks) : 각국 정부와, 단체의 비밀 문서들을 누설하는 웹사이트


2. 악성코드 유포 방법 및 증상

1) E-mail 에 첨부파일을 이용한 악성코드 유포
최근 WikiLeaks 와 관련된 사회적 이슈를 이용하여, 첨부된 pdf 파일의 열람을 유도하고 있습니다.

[그림1] 수신된 e-mail 내용

[그림2] WikiLeaks.pdf 파일 정보

 

WikiLeaks.pdf 파일이 실행되면, 아래의 경로에 추가로 악성코드가 생성됩니다.

- C:\Documents and Settings\[사용자계정]\Local Settings\temp\spoolsv.exe

[그림3] spoolsv.exe 파일 정보

2) 링크를 통한 악성코드 유포
접근을 유도하고 있는 URL 로 접근시 JAR 파일을 실행하여 악성코드를 다운로드 받게 됩니다.

[그림 4] 악성코드를 유포하는 허위 위키리크스 사이트

[그림 5] 위 사이트 접근 시 JAR 파일이 실행되며 나타나는 경고창

[그림 6] JAR 파일 내부에 존재하는 Class 파일 중 악성코드 파일을 다운로드 받는 일부 코드 내용

[그림7] 다운로드된 226.exe 악성 파일 정보

3. 진단 현황
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.

WikiLeaks.pdf
- PDF/Cve-2010-2883

spoolsv.exe
- Win-Trojan/Bewymids.57448

226.exe
- Win-Trojan/Spyrat.685568

WikiLeaks.class
- JAVA/Downloader

4. 예방 방법
최근 사회적으로 이슈가 되는 소재를 이용한 악성코드 유포가 빈번하오니 아래 사항을 참고하시어 악성코드로 부터 시스템을 안전하게 지키시기 바랍니다.

1) V3 제품 엔진을 항상 최신으로 유지하며 실시간 감시 기능을 사용하도록 합니다.
2) 발신자가 불분명한 이메일은 열어보지 않도록 합니다.
3) 수상한 웹사이트 방문 시 위와 같은 JAVA 실행 경고창이나 기타 다른 ActiveX 허용창이 나타났을 경우 허용하지 않도록 합니다.
4) 윈도우 보안 업데이트 및 Adobe 관련 프로그램(Flash, Adobe Reader)을 최신버전으로 유지 합니다.

Adobe Reader 최신 버전 다운로드 링크 : http://get.adobe.com/reader/
관련 내용 참고 사이트 : http://www.symantec.com/connect/es/blogs/targeted-attacks-uses-wikileaks-its-social-engineering-hook