반응형
9월 14일 Adobe사에서 제공하는 Adobe Flash Player의 취약점을 발표함
이를 악용한 악성파일이 빠르게 발견되었는데, 잠시 살펴보자~
이 글은 기록용이므로~ 정보가 많이 없음 ㅎㅎ (개인적인 기록용)
우선 악성 SWF 파일을 살펴보면, CWS = 즉! 압축이 되어 있다.
익숙하게 풀어보면, FWS로 쉽게 압축을 해제 할 수 있다.
압축을 풀어보니, ShellCode로 보이는 것들이 잔뜩 있다...;; ㅎㄷㄷ 너무 많다 ㅋㅋ
아지만 0c0c909으로 보아 NopSlide도 존재할 것으로 보인다.
해당 Hex값을 Disassem 해보니, XOR(E2)로 변환 하는 코드가 보였다.
실제로 위의 ShellCode에는 특정부분으로 JMP 후 URL을 다운로드 하는 코드였다.
다운로드 하는 파일은 http://74.82.184.70/mm913.exe 이다. 현재는 서버가 죽어있다.
다른 Hex값을 더 살펴보니, 2개의 SWF 파일이 더 존재하였다.
아직 확인해 보진 않았지만, 이미 내가 필요한 URL은 얻었기 때문에 취약점 분석은 Pass!!
다운로드 된 mm913.exe는 다운 과정에서 XOR을 통해 정상적인 PE로 변하게 된다.
- 변경 전
- 변경 후
mm913.exe를 간략히 확인해 본 결과, 짜증나는 놈이다.
C:\WINDOWS:EXPL0RER.exe 이름으로 ADS를 설치 한다.
그리고 바탕화면+시작프로그램+빠른실행에 있는 모든 아이콘을 삭제한다.
또한 ntldr 파일을 삭제 함으로써 부팅도 안된다;;
결론적으론 백도어인데, 하는 짓은 Joker들이 하는 짓들을 하고 있다.
'IT 보안소식' 카테고리의 다른 글
| 페이스북(FaceBook) 쪽지로 전파되는 악성코드 (0) | 2010.09.27 |
|---|---|
| 카스퍼스키(Kaspersky), iPhone Jailbreaking, Greenpois0n and SHAtter Trojans (0) | 2010.09.27 |
| KT, 추석 보너스 "환급금 알아보기"!! 놓치지 마시고 꼭 해보세요!! 국번없이 100번 (2) | 2010.09.10 |
| Malware Diaries - New Adobe Reader/Acrobat zero day vulnerability (0) | 2010.09.09 |
| 카스퍼스키(Kaspersky), 안드로이드OS SMS 트로이목마 발견(Trojan-SMS.AndroidOS.FakePlayer.b) (0) | 2010.09.09 |
댓글