본문 바로가기
IT 보안소식

[SpamMail] 자바 실행파일 "Docs.jar" 가 첨부 된 스팸메일 주의!!

by 잡다한 처리 2014. 10. 31.
반응형



10월 2일 개인메일 사서함으로 스팸메일 한통이 왔다.

최근 스팸이 잘 안왔는데, 역시 의리메일!! 감사 ㅋㅋ


□ 관련 내용


그럼 간단하게 스팸메일을 확인 해 보자.


우선 전달 된 스팸메일은 아래와 같이 오니 주의하길 바란다....!!



- 스팸메일 내용

제목 : Re: Please resend the confirmation payment


본문 : 

Hello

 

Please Note:

The money is not in the account yet so I check the attached payment slip and it looks like there is a mistake on it.

 

The SWIFT Code should be BARCGB210LC and not only OLC like you wrote. Kindly check your account if the

 

money has not been debited so you can re-send it now and if your account has been debited please let me know.

 

Scbbd Trading Ltd.

 

Address: 2 Mohamed Refaat St., El Nozha, Cairo, Egypt .

 

Tel: +202 26206 957 , Fax: +202 26206 958

 

E-mail: Moteevc@scbbdtrading.net

 

Mobile: +2 0100 1421 979

 

Skype: Amoteleccvs.


첨부파일 : Docs.jar



스팸메일에 첨부 된 Docs.jar 파일은 자바의 실행 파일로써, RAT(Remote Access Tool : 원격 제어 툴)의 일종으로 

감염 된 PC를 조정 할 수 있는 악성파일이다.


※ 해당 분석 정보는 상세 분석이 아니기 때문에, 빠진 내용이 많이 있음을 미리 알려 드림!!

- 사용자 정보 수집

OS종류(Linux, mac, windows) 

OS버전

컴퓨터이름

맥어드레스

시스템 루트 경로


- 추가 플러그인 실행

DisableWebcamLightsStub.jar : 웹캠의 LED 해제, 네트워크 어탭터의 LED 해제

MessageBox.jar


"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0000\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0001\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0002\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0003\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0004\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0005\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\0015", "LedMode", "0");



- 키로깅

오픈소스인 JNativeHook 라이버리를 사용하여 1시간 마다 년-월-일-시(2014-10-07-10.txt)로 파일을 만들어 

사용자의 키로깅을 기록


파일의 위치는 C:\Documents and Settings\[사용자]\js_logs\2014-10-07-10.txt


- 네트워크 접속 및 악성코드 정보

서버IP : 193.0.200.136

Port : 2209

시작 파라미터 : ture

ID : jSpy Session

버전 : 0.32

숨김모드 파라미터 : ture


- 봇 기능

LOGIN

CONNECT

ACCEPTED

DECLINED

WEBSITE 

WEBSITEH

DOWNLOAD

UDP

GET

POST

SCREEN

STARTCAM

CAM

STOPCAM

LOG

SHELL

SHUTDOWN

CLOSE

UNINSTALL

UPLOAD

CLICKRIGHT

CLICKLEFT

OFFLINELOG

EXPLORER

DELETEFILE

INJECTJAR

EXECUTE

GETFILE

MESSAGE

STARTCHAT

ENDCHAT

GETSEP

STARTCRAZY

STOPCRAZY

SENDKEY

DISPOSESCREEN


Jar 파일은 아래와 같이 압축형태로 되어 있기 때문에, 파일 내부를 확인 할 수 있다.



※ 해당 파일은 Allatori Java obfuscator 5.0 Demo 버전으로 난독화 되어 있어 분석이 아주 까다롭다.



현재 알약에서는 스팸메일과 관련 된 "Docs.jar" 파일을 "Trojan.Java.RAT.A" 로 탐지 된다.

댓글