'플래쉬 플레이어 위장 악성코드'에 해당되는 글 1건

  1. 2010.10.07 [Malware Analysis] Adobe Flash Player를 위장한 악성코드
지난 8월에 유포되었던 Adobe Flash Player 업데이트를 위장한 악성코드 유포한 비슷한 형태입니다.
( 참고 ; http://blog.ahnlab.com/asec/384 )

ASEC에 기재된 글처럼 Adobe 사의 업데이트가 있는 시기를 맞춰서 등장하는 듯 했으며, 사회공학적인 기법을 이용하여 마치 사용자에게 Adobe Flash Player 설치 파일인 것 처럼 속여 파일 다운로드를 유도합니다.

유포 사이트 접속시 화면입니다.

유포지의 URL이 .br로 끝나는 것을 보아 브라질(Brazil)을 겨냥한 것으로 보이며, "Concordar e instalar agora" 클릭시 악성코드를 다운받게 됩니다.

파일명은 Flash_player_10.9.1.0.exe이며 아래와 같이 정상 파일인 것처럼 사용자를 속이는 것을 알 수 있습니다.


Flash_player_10.9.1.0.exe 파일 실행시 ibserve.exe 파일을 추가로 다운받게 되며 자동실행을 위해 아래 레지스트리 값을 생성합니다.
- HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
  : ibserve = "C:\WINDOWS\ibserve.exe" 

ibserve.exe 파일 역시 MS 파일인 듯 위장하여 사용자를 속이고 있습니다.

ibserve.exe는 특정 은행 계정 탈취를 목적으로 하는 악성코드로, 다행히 그 타겟이 국내 은행이 아닌 브라질 은행을 타겟으로 한 것으로 보입니다.

다음은 두 파일에 대한 VirusTotal 결과입니다.
< Flash_player_10.9.1.0.exe >
http://www.virustotal.com/file-scan/report.html?id=7f062b4b5967ee675136c66dbb689a992b3e5c76d207c5ef332c3602556d2b95-1286383217
< ibserve.exe >
http://www.virustotal.com/file-scan/report.html?id=e29a41a079bac53358cb2d699815131173a13aa5fb366c8ac322f38aca8a70c5-1286376811

이런 사회공학적 기법을 이용한 악성코드 배포 사례가 계속적으로 등장하고 있습니다. 사용자들은 불명확한 링크는 절대 클릭하지 말고, 제품 다운로드 또는 업데이트 사이트 접속시 제품 공급자가 제공하는 사이트가 맞는지 반드시 확인해야 겠습니다.

                                                                                                    +---------------------------------+
                                                                                                    | Infinite Flow..                              |

                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+
저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K

티스토리 툴바