반응형
어제 저녁 특정 발송자로부터 다음과 같은 메일이 전달되었다.
비씨카드 이용대금 명세서였다.
아주 정교하게 만들어진 메일이였으며, "이용대금 명세서 보기" 를 누루면 특정 사이트로 이동하여 ActiveX를
설치하는 악성코드였다.
- 설치 단계(http://mail.ki***.**.**/******/BA10.cab 의 파일로 악성파일이 설치된다)
ActiveX로 인하여 설치가 완료되면 다음 위치에 파일이 생성된다.
- 파일정보C:\WINDOWS\BA10.exeC:\Documents and Settings\UserName\Local Settings\Temp\BA10.exeC:\Documents and Settings\UserName\Local Settings\Temp\BA10.dllC:\WINDOWS\Downloaded Program Files\KShowAtx.dllC:\WINDOWS\Downloaded Program Files\KShowAtx.inf- 레지스트리 정보(중요레지스트리만 기재)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "BA10" = "C:\WINDOWS\BA10.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6DE1749A-48BD-4309-BB2E-12928E43BBDA}
악성파일이 BHO로 동작되면,
특정서버(61.100.5.***)에서 xml(공격대상) 파일을 다운로드하여 접속을 시도 한게 된다.
현재는 모두 Naver 부가서비스쪽으로 파악되고 있다.
<mailSendTerm>43200000</mailSendTerm><mailSendMax>200</mailSendMax><mailRepeat>1</mailRepeat><CmdServer>http://www.pas***.com/v***/cmd.php</CmdServer> (C&C 서버)<CmdServer1>http://www.k***.com/v***/cmd.php</CmdServer1> (C&C 서버)<CmdServer2>http://www.k***.com/v***/cmd.php</CmdServer2> (C&C 서버)<CmdUpdateTime>30000</CmdUpdateTime><delayWindow>10000</delayWindow><CntWindow>1</CntWindow><ifRandom>1</ifRandom></CONFIG><AddrInfo><URL><![CDATA[http://www.naver.com]]></URL><HeaderData></HeaderData><Content></Content><PostData></PostData><JSExec></JSExec><ifJSRUN>1</ifJSRUN><WaitTime>30000</WaitTime><CacheDelete>0</CacheDelete><fileDown>0</fileDown></AddrInfo><AddrInfo><URL><![CDATA[http://mail.naver.com]]></URL><HeaderData></HeaderData><Content></Content><PostData></PostData><JSExec></JSExec><ifJSRUN>1</ifJSRUN><WaitTime>30000</WaitTime><CacheDelete>0</CacheDelete><fileDown>0</fileDown></AddrInfo><AddrInfo><URL><![CDATA[http://comic.naver.com]]></URL><HeaderData></HeaderData><Content></Content><PostData></PostData><JSExec></JSExec><ifJSRUN>1</ifJSRUN><WaitTime>30000</WaitTime><CacheDelete>0</CacheDelete><fileDown>0</fileDown></AddrInfo><AddrInfo><URL><![CDATA[http://music.naver.com]]></URL><HeaderData></HeaderData><Content></Content><PostData></PostData><JSExec></JSExec><ifJSRUN>1</ifJSRUN><WaitTime>30000</WaitTime><CacheDelete>0</CacheDelete><fileDown>0</fileDown></AddrInfo><AddrInfo><URL><![CDATA[http://movie.naver.com]]></URL><HeaderData></HeaderData><Content></Content><PostData></PostData><JSExec></JSExec><ifJSRUN>1</ifJSRUN><WaitTime>30000</WaitTime><CacheDelete>0</CacheDelete><fileDown>0</fileDown></AddrInfo><AddrInfo><URL><![CDATA[http://photo.naver.com]]></URL><HeaderData></HeaderData><Content></Content><PostData></PostData><JSExec></JSExec><ifJSRUN>1</ifJSRUN><WaitTime>30000</WaitTime><CacheDelete>0</CacheDelete><fileDown>0</fileDown>
이와 같은 경우는 지난 5월 25일 경 발생 한 월드커 티켓 스팸메일과 동일한 수법이며,
동일한 CmdServer 주소로 보았을 시 동일한 제작자로 파악되고 있다.
또한 사용자정보를 일본으로 유출시켰던 DaumActivex 와도 연관되어 있다.
자세한 정보는 현재 공개하지 못하지만, 확실한 꼬리만 잡히면....주겨주마!!
- 지난 5월 25일 스팸메일(V.TRJ.Streamtiger.395776)
- 지난 DaumActiveX를 가장한 키로거 관련 내용들
2010/04/23 - [악성코드소식] - 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(미국으로 전송)
2010/04/22 - [악성코드소식] - 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생
2010/04/06 - [보안관련소식] - 알약(ALYac), 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 주의
2010/04/22 - [악성코드소식] - 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생
2010/04/06 - [보안관련소식] - 알약(ALYac), 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 주의
'IT 보안소식' 카테고리의 다른 글
| 네이트온 악성코드 사진변경(2010-06-28) (2) | 2010.06.28 |
|---|---|
| [SpamMail] "My Husband, My Lover" 제목으로 전파 되는 메일 주의!! (0) | 2010.06.23 |
| 알약(ALYac), BC카드 이용대금 명세서를 가장한 악성코드 이메일 주의 (0) | 2010.06.23 |
| 아이폰 4세대(iPhone HD), IOS 4.0 어떤점이 업그레이드 되는가!! (5) | 2010.06.21 |
| [SpamMail] "Your Computer has probably been infected" 제목으로 전파 되는 메일 주의!! (0) | 2010.06.21 |
댓글