반응형
"New discounts daily" 라는 제목으로 스팸메일이 전파되었다.
스팸메일에는 open.html 이라는 파일이 첨부 되어 있으며, 해당 파일은 JavaScript를 통해 악성 PDF를 다운로드 한다.
추가적으로 new.html 파일도 첨부 파일로 들어오고 있다고 한다.
new.html의 접속 주소는 http://advancedwood****.com/x****j/z.htm 이며, 동일한 PDF를 다운로드 한다.
최근 Replace 함수를 사용하여 문자열을 치환하는 형식이 많이 발생하고 있으며,
이는 보안프로그램의 탐지를 우회하기 위한 방법으로 사용되는 것으로 추측되고 있다.
이번 open.html도 마찬가지로 Replace 를 이용하여 악성 URL에 접근을 시도한다.
빨간 박스가 악성 URL로 의심되는 부분이다.
해당 open.html이 동작되면, 성인용품 사이트로 이동하게 된다.
참 정겨운 화면이다 ㅡ.ㅡ;
저 의사 아저씨와 아줌마 ㅋㅋㅋ
사이트가 오픈되면서 Redirection을 통해 PDF를 다운로드 한다.
Redirection URL : http://guy***.ru:8080/ind****hp?******
총 10개의 PDF가 존재하였으며, 해당 내용은 동일하다.
PDF에는 악성 JavaScript가 존재 하고 있으며, 특정 ShellCode를 통해 악성 파일을 다운로드한다.
악성 Script 역시 난독화가 되어있다.
해당 Script를 복호화 하면 쉘코드를 분석할 수 있다.
다음 URL에 접속을 시도한다.
사용자 PC에 Temp 폴더를 찾은 후 e.exe 파일을 생성하는 것으로 추정된다(현재 분석 진행 중)
현재 많은 변종들이 존재 하는 것으로 보이며, 오늘 부터 월드컵 개막이라 당분간 스팸메일이 무수히 증가할 것으로 보인다. 첨부 파일이 들어가 있는 이메일은 읽지 말고 삭제하는것이 옳바른 방법이다.
'IT 보안소식' 카테고리의 다른 글
소포스(Sophos), iPhone Application launched (0) | 2010.06.15 |
---|---|
WebSense, Adobe 0-day vulnerability used in mass injections (0) | 2010.06.14 |
MSN 메신저로 전파되는 피싱사이트 - "나의 마지막 캠이다, 클릭해서 들어와라" (0) | 2010.06.09 |
제목이 없는 이메일 주의!! (2) | 2010.06.07 |
Registry Binary를 이용한 Daonol 변종 (0) | 2010.06.07 |
댓글