본문 바로가기

벌새::Security

Internet Explorer 제로데이 취약점을 이용한 2012년 전시 작전 통제권 이양 관련 이메일 유포 주의 (2010.3.29)

반응형
어제 소개한 Internet Explorer 제로데이(0-Day) 취약점을 이용한 천안함 침몰과 관련된 악성 이메일 발견 소식에 이어 해당 유포자가 2012년 전시 작전 통제권 이양과 관련된 추가적인 악성 이메일을 유포하는 것을 확인하였습니다.

천안함 침몰 관련 유포는 정상적인 유포를 위한 테스트 성격이 강하였으며, 이번 유포는 이메일 링크를 통해 악성 페이지에 접속시 Internet Explorer 6 / 7 버전 사용자는 직접적인 영향을 받는 것으로 알려져 있습니다.

● 이메일 제목 : U.S.-ROK ALLIANCE... In Korea, Divide and be Conquered
● 이메일 발송자 : richard.mark45@yahoo.com

[악성코드 유포 경로]

h**p://*********.com/spot/news.html (nProtect : Exploit.Cosmu.A)
 - h**p://*********.com/temp/winint32.exe (nProtect : Trojan/W32.Agent.357344)

최종적으로 다운로드된 winint32.exe 파일은 마이크로소프트(Microsoft) Explorer 파일로 위장을 하고 있는 것을 확인할 수 있으며, 분석을 방해할 목적으로 Anti-VM 기능을 포함하고 있습니다.

파일에 디지털 서명도 포함되어 있지만 그림과 같이 유효하지 않다고 표시가 되고 있습니다.

winint32.exe (MD5 : 043d308bfda76e35122567cf933e1b2a)

 현재 감염시 일부 보안 제품에서만 진단 및 치료가 가능하므로 이메일을 통해 수신된 수상한 링크는 함부로 열지 않도록 주의하시기 바라며, 국내 이슈를 이용한 해외에서의 공격이 증가하는 것으로 보이므로 영문 이메일은 더욱 주의하시기 바랍니다.

728x90
반응형