10월 2일 개인메일 사서함으로 스팸메일 한통이 왔다.
최근 스팸이 잘 안왔는데, 역시 의리메일!! 감사 ㅋㅋ
□ 관련 내용
그럼 간단하게 스팸메일을 확인 해 보자.
우선 전달 된 스팸메일은 아래와 같이 오니 주의하길 바란다....!!
- 스팸메일 내용
제목 : Re: Please resend the confirmation payment
본문 :
Hello
Please Note:
The money is not in the account yet so I check the attached payment slip and it looks like there is a mistake on it.
The SWIFT Code should be BARCGB210LC and not only OLC like you wrote. Kindly check your account if the
money has not been debited so you can re-send it now and if your account has been debited please let me know.
Scbbd Trading Ltd.
Address: 2 Mohamed Refaat St., El Nozha, Cairo, Egypt .
Tel: +202 26206 957 , Fax: +202 26206 958
E-mail: Moteevc@scbbdtrading.net
Mobile: +2 0100 1421 979
Skype: Amoteleccvs.
첨부파일 : Docs.jar
스팸메일에 첨부 된 Docs.jar 파일은 자바의 실행 파일로써, RAT(Remote Access Tool : 원격 제어 툴)의 일종으로
감염 된 PC를 조정 할 수 있는 악성파일이다.
※ 해당 분석 정보는 상세 분석이 아니기 때문에, 빠진 내용이 많이 있음을 미리 알려 드림!!
- 사용자 정보 수집
OS종류(Linux, mac, windows)
OS버전
컴퓨터이름
맥어드레스
시스템 루트 경로
- 추가 플러그인 실행
DisableWebcamLightsStub.jar : 웹캠의 LED 해제, 네트워크 어탭터의 LED 해제
MessageBox.jar
"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0000\\Settings", "Default", "0");
"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0001\\Settings", "Default", "0");
"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0002\\Settings", "Default", "0");
"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0003\\Settings", "Default", "0");
"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0004\\Settings", "Default", "0");
"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0005\\Settings", "Default", "0");
"SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\0015", "LedMode", "0");
- 키로깅
오픈소스인 JNativeHook 라이버리를 사용하여 1시간 마다 년-월-일-시(2014-10-07-10.txt)로 파일을 만들어
사용자의 키로깅을 기록
파일의 위치는 C:\Documents and Settings\[사용자]\js_logs\2014-10-07-10.txt
- 네트워크 접속 및 악성코드 정보
서버IP : 193.0.200.136
Port : 2209
시작 파라미터 : ture
ID : jSpy Session
버전 : 0.32
숨김모드 파라미터 : ture
- 봇 기능
LOGIN
CONNECT
ACCEPTED
DECLINED
WEBSITE
WEBSITEH
DOWNLOAD
UDP
GET
POST
SCREEN
STARTCAM
CAM
STOPCAM
LOG
SHELL
SHUTDOWN
CLOSE
UNINSTALL
UPLOAD
CLICKRIGHT
CLICKLEFT
OFFLINELOG
EXPLORER
DELETEFILE
INJECTJAR
EXECUTE
GETFILE
MESSAGE
STARTCHAT
ENDCHAT
GETSEP
STARTCRAZY
STOPCRAZY
SENDKEY
DISPOSESCREEN
Jar 파일은 아래와 같이 압축형태로 되어 있기 때문에, 파일 내부를 확인 할 수 있다.
※ 해당 파일은 Allatori Java obfuscator 5.0 Demo 버전으로 난독화 되어 있어 분석이 아주 까다롭다.
현재 알약에서는 스팸메일과 관련 된 "Docs.jar" 파일을 "Trojan.Java.RAT.A" 로 탐지 된다.
'IT 보안소식' 카테고리의 다른 글
| 구글 크롬(Google Chrome), 39.0.2171.65 업데이트!! (0) | 2014.11.26 |
|---|---|
| 알약(ALYac), nProtect Netizen v5.5 보안 취약점에 따른 알약 "Misc.Suspicious.NTZ" 탐지 안내 (4) | 2014.11.07 |
| 판도라TV(PANDORA.TV), 외부 해킹으로 인한 고객정보 11만건 개인정보 유출 사건(2014-10-13) (0) | 2014.10.16 |
| 안랩(Ahnlab), 윈도우 보안 업데이트 이후 제품 업데이트 및 실행 오류 해결 방법 (0) | 2014.10.15 |
| 스미싱(Smishing), "사용자 정보(통신사,휴대전화번호,주민등록번호)"를 입력해야 다운로드 되는 악성 어플리케이션 주의 (2) | 2014.10.14 |
댓글