어도비 플래쉬 플레이어 제로데이(Adobe Flash Player 0-Day)를 이용한 악성파일 유포 주의!!

(그림출처 : Contagio Blog)

4월 12일 발표 된 Adobe Flash Player 0-Day 취약점을 이용한 악성파일이 발견되었다.

해당 악성파일은 이메일(E-Mail)로 전파되는것이 확인되며, 
"Disentangling Industrial Policy and Competition Policy.doc" 파일명으로 첨부파일이 삽입되어 있다.

- 취약점 내용
2011/04/12 - [취약점소식] - [Adobe]Adobe Acrobat Reader Remote Code Execution Vulnerability in Flash Player(CVE-2011-0611)

첨부 된 Doc 파일이 실행되면 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더에 "AAAA" 파일이 
생성된다. 해당 파일은 실제 정상파일이며, 악성파일이 돌아가는 것을 숨기기 위한 눈가림 역할을 한다.

AAAA파일로 사용자 눈을 속인 Doc 파일은 SWF(플래쉬 플레이어 파일)을 통해 악성파일을 생성시키고 실행한다.
SWF 파일은 Doc 파일내에 존재하며 이번 Adobe 취약점을 이용한 파일이다.

doc 파일에 포함 된 swf 파일은 액션 스크립트를 통해 또 하나의 swf를 만들고 실행시키는 역활을 한다.

모든 동작이 완료 되면 최종 악성파일을 다음 위치에 생성시킨다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\scvhost.exe

취약점으로 생성 된 svchost.exe 파일이 실행 되면 다음과 같은 파일을 생성하며 악성행위를 한다.

- 생성파일

C:\WINDOWS\system32\mspmsnsv.dll (메인 악성코드 - 정상 svchost.exe 프로세스에 인젝션)
C:\WINDOWS\system32\msimage.dat (프록시 서버 역활)
C:\WINDOWS\system32\task.dat (실행 된 프로세스 목록 저장 파일)
C:\WINDOWS\system32\fi.txt (감염 PC 파일 목록 저장 파일)

- 악성행위(100% 분석 된 자료가 아님...)

1) 윈도우즈 정상파일 변조(C:\WINDOWS\system32\mspmsnsv.dll)
WFP(WWindow File Protection)을 해제 후 정상 파일인 mspmsnsv.dll 파일을 C:\Program Files\Common Files폴더에 bak.dll 파일명으로 복사 후 자신이 생성한 파일을 mspmsnsv.dll 파일명으로 생성한다.

간단하게 정리하면,
-> WFP 보호해제
-> 정상 mspmsnsv.dll 파일이동(C:\Program Files\Common Files\bak.dll)
-> 악성 mspmsnsv.dll 파일생성

2) 동작중인 프로세스 목록 저장(C:\WINDOWS\system32\task.dat)
감염 된 PC의 프로세스 목록을 task.dat 파일에 저장한다.

3) 특정 확장자의 목록 저장(C:\WINDOWS\system32\fi.txt)
감염 된 PC에서 특정 확장자의 목록을 fi.txt 파일에 저장한다.(목록화 되는 특정 확장자는 분석 중...)

최종적으로 해당 악성파일은 svchost.exe 파일에 인젝션 되어 동작 된 후 인터넷이 연결되었는지 확인하기 위해
www.microsoft.com으로 접속을 시도하며, 접속 성공 후 제작자의 서버로 보이는 특정 시스템에 접속한다.

접속이 안될 시 사용 될 프록시 서버파일까지 준비 한 것으로 보아, 치밀한 놈이다...!!

알약에서는 해당 파일을 다음과 같이 탐지한다.
(이미지 준비중;;)