'단축 URL'에 해당되는 글 1건

  1. 2011.01.23 [Malware Analysis] 지난주 발견된 트위터 웜
지난 주 1월 20일에 [그림 1]과 같이 트위터의 단축 URL을 통한 악성코드 유포가 있었다.
                                                      [그림 1] (출처 : http://isc.sans.edu/diary.html?storyid=10297&rss)

해당 링크 클릭시 m28sx.html 파일명을 포함하는 URL로 이동하게 되며 해당 페이지의 내용은 [그림 2]와 같이 다른 페이지로 이동되는 것을 확인할 수 있다.
[그림 2]

[그림 2]의 html에 의해 이동된 최종 페이지에서는 [그림 3]과 같이 BASE64로 인코딩된 값을 디코딩 후에 특정 함수(mlc0)를 호출하는 것을 확인할 수 있다. 함수명은 랜덤하는 생성되는 것으로 보인다.
[그림 3]

sfafsc의 m1c0 함수를 확인해 보면 [그림 4]와 같이 c, d, c 3개의 파라미터를 넘겨 받아 처리를 해주는 것을 확인할 수 있으며, powmod 함수를 호출하는 것을 확인할 수 있다.
[그림 4]
아직 내공이 부족하여(+귀차니즘) 함수의 정확한 기능을 분석해 보지는 못했지만 Kaspersky의 분석 정보에 따르면 RSA 암호화 알고리즘을 이용하는 부분이라고 한다.
Kaspersky 분석 정보 : http://www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV

위와 같은 스크립트가 실행되면 [그림 5]와 같이 마치 백신의 검사 과정인 듯 위장된 페이지가 나타나며 최종적으로 허위 감염 정보를 표시하여 치료를 위한 파일 다운로드를 유도한다.
[그림 5]
화면 클릭 시 [그림 6]과 같이 pack.exe 라는 파일이 다운로드 되는 것을 확인할 수 있다.
[그림 6]

다운로드 된 pack.exe 실행시 [그림 7], [그림 8]과 같이 허위 진단 화면을 보여주며, 사용자의 PC가 악성코드에 감염되어 있다는 허위 정보를 생성한다.
[그림 7]
[그림 8]

감염된 PC(물론 허위 정보)의 치료를 위해서나 제품의 업데이트를 위해  [그림 9]와 같이 결제를 유도한다. 백신 제품의 경우 반드시 잘 알려진 신뢰성있는 제품만 사용해야 되며, 허위 감염 정보를 통한 결제 유도를 하는 악성코드에 속지 않도록 주의해야 한다.
[그림 9]

                                                                                                    +---------------------------------+
                                                                                                    | Infinite Flow..                              |
                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+

저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K

티스토리 툴바