이 파일은 Adobe Acrobat Reader의 0-day로써 이메일로 전파 되고 있다.
악성파일의 크기는 현재 발견 된 것은 모두 400,918 바이트 크기를 가지고 있다.
상세분석을 하기에는 너무 시간이 걸릴 듯 하여 ㅠ_ㅠ, 간략하게 요약한다.

우선 E-Mail로 전파 된 악성 PDF 파일을 살펴 보면 다음과 같은 스크립트가 존재한다.
어떤 취약점 Exploit이라도 힌트는 항상 존재한다는 것을 명심해야 한다.

(그림1, PDF 파일 안에 존재 하는 스크립트 화면)

다음은 그림1의 스크립트를 복호화 한 내용이다.
이때까지만 해도 이 쉘코드에 다운로드 주소가 있을것으로 추정하고 있었다(ㅠ_ㅠ)
하지만, 해당 쉘코드는 PDF안에 있는 PE파일을 특정위치로 드롭시키는 코드와, 오버플로우를 발생시키는 코드였다.

(그림2, 스크립트 복호화 작업을 마친 화면)

다시 PDF를 살펴 보면 자기자신에 Offset 0x00037761부터 PE파일(172,032 바이트)를 담고 있는 것을 확인 할 수 있다.

(그림3, PDF 파일에 PE파일을 담고 있는 화면)

PE파일은 차후 C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe에 설치 되는 파일이다.
아직 파일에 대한 분석이 완료 되지 않았기 때문에 생략 ㅎㅎㅎ

- 생성 되는 파일
C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe(172,032 바이트)
C:\Documents and Settings\XP\Local Settings\Temp\DelUS.bat
C:\WINDOWS\winver32.exe(386,016 바이트)

- 다운로드 주소
http://foruminspace.com/documents/dprk/ab.exe(현재 파일 없음) - 다운 후 winver32.exe로 변환


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.