울지않는벌새 : Security, Movie & Society

Spam 이메일 : Order N02856 (2011.11.17)

벌새::Analysis
오늘 해외에서 발송된 이메일을 통하여 주문한 Adobe InDesign CS4 라이센스를 받을 수 있는 링크(URL)가 포함된 악성 이메일을 통하여, 사용자가 링크를 열어볼 경우 취약점을 가진 Adobe Flash Player, Oracle JRE(Java Runtime Environment) 플러그인이 설치된 시스템을 감염시키는 사례를 확인하였습니다.

● 제목 : Order N02856

Dear Customers,

You can download your Adobe CS4 License here -

We encourage you to explore its new and enhanced capabilities with these helpful tips, tutorials, and eSeminars.
Thank you for buying Adobe InDesign CS4 software.
Adobe Systems Incorporated

사용자가 해당 링크(URL)를 열 경우, 특정 러시아(.ru) 도메인으로 refresh되어 다음과 같은 악의적인 동작을 합니다.

해당 페이지에서는 "BlackHole Exploit Kit"이라고 불리는 해외 사이버 범죄자들이 사용하는 악성 스크립트로 구성되어 있습니다.

해당 링크(URL)를 웹 브라우저를 통해 실행할 경우 ① Adobe Flash Player 구버전이 설치되어 있으며, Oracle JRE 플러그인이 설치되어 있지 않은 사용자의 경우에는 좌측 그림과 같이 "지금 보고 있는 페이지는 Java를 사용합니다."라는 메시지와 함께 백그라운드 방식으로 악성 swf 파일을 통해 시스템 감염을 유발합니다.
  • MD5 : e376f960fa6f3ce693c9a963596bfef9 (Microsoft : Exploit:SWF/Blacole.I)
  • MD5 : 81cbd8f578bc757f1de52988d536d719 (Microsoft : Exploit:SWF/Blacole.J)

② 만약 Oracle JRE 구버전 플러그인이 설치된 환경에서 메시지창 생성없이 자동으로 실행되어 "Please wait page is loading..." 메시지만 일정 시간 노출하며 백그라운드 방식으로 시스템 감염이 진행되며 웹 브라우저는 자동으로 종료됩니다.

  • MD5 : d5158e9ebc7304f9c2f66f41ce80c530 (Kaspersky : Exploit.Java.CVE-2010-0840.er)

이를 통해 인터넷 임시 폴더에는 calc.exe 또는 info.exe(MD5 : 4c5698ea403be8300d26dbc6bb16f302)와 같은 파일이 다운로드되며, 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Spyeyes.305664.B (VirusTotal : 28/42) 진단명으로 진단되고 있습니다.

[생성 파일 및 진단 정보]

C:\Recycle.Bin\44C6D884028D443
 - MD5 : f95e5462440f305db53cfb9018ff63dc
 - Microsoft : Trojan:Win32/EyeStye.C!cfg (VirusTotal : 12/42)

C:\Recycle.Bin\B6232F3A9E4.exe
 - MD5 : 4c5698ea403be8300d26dbc6bb16f302
 - nProtect : Trojan-Spy/W32.SpyEyes.305664 (VirusTotal : 28/42)

감염된 시스템에서는 루트킷(Rootkit) 기반의 [C:\Recycle.Bin] 폴더를 생성하여 내부에 SpyEye 악성 파일을 생성하는 것을 확인할 수 있습니다.

또한 감염된 환경에서는 주기적으로 다양한 러시아 서버로 연결을 시도하는 동작을 확인할 수 있습니다.

실제 해당 SpyEye 계열 악성코드는 제우스(Zeus) 악성코드와 유사하게 금융권을 표적으로 한 정보 탈취 기능을 가지고 있는 해외에서 매우 유명합니다.

그러므로 자신이 알지 못하는 이메일을 통해 특정 사이트로 접속을 유도하거나 첨부 파일을 통해 실행을 하도록 하는 경우에는 함부로 실행하여 감염되는 일이 없도록 매우 주의하시기 바랍니다.

또한 Adobe Flash Player 제품은 모든 인터넷 사용자 PC에 반드시 설치되어야 하므로 항상 최신 버전을 사용하는 습관을 가지시기 바라며, Oracle JRE 플러그인을 필요에 의해 설치하신 분들도 주기적으로 최신 버전 체크를 통해 취약점을 가진 버전을 사용하는 일이 없도록 하시기 바랍니다.