2012.05.05
안녕하세요. 안랩인입니다. 최근 해외에서 ‘Invitation for Tibetan Films’라는 제목으로 유포된 악성 스팸메일에서 주의할 만한 점이 발견됐습니다.
해외 보안 블로그에 따르면, 이 스팸메일에는 자바 취약점을 이용하여 윈도우와 맥 운영체제를 동시에 감염시키는 악성 스크립트가 삽입되어 있었습니다([그림 1]).
[그림 1] 윈도우와 맥 운영체제를 동시에 감염시키는 악성 스크립트
이 스크립트는 감염시킨 PC의 운영체제에 맞춰 아래의 파일들을 다운로드하고, 해당 파일들은 자바 취약점을 이용해 실행됩니다.
file.***.**/v*******l/2*****R/img.jar
file.***.**/v*******l/2*****R//ref.jar
img.jar 파일은 내부에 윈도우에서 실행 가능한 PE 파일 형태의 악성 파일을 포함하고 있다. 마찬가지로 ref.jar 파일은 내부에 Mac OS X에서 실행 가능한 형태의 악성 파일을 포함하였습니다.
[그림 2] 악성 파일
과거에도 국내 패스트푸드 업체를 사칭해 유포된 메일에서 운영체제를 구분하여 감염시키도록 작성된 코드가 발견됐었습니다. 하지만 이때 실제로는 윈도우 대상 악성 파일을 다운로드하는 URL만 존재했습니다.
이 두 사례에서 보듯이 자바 취약점을 이용한 악성코드의 공격은 계속되고 있습니다. 이를 예방하기 위해서는 자바를 비활성화 상태로 설정하거나, 보안 업데이트를 통해 최신 버전으로 유지해야 합니다.
관련 악성코드는 아래와 같은 진단명으로 V3 제품에서 진단/치료가 가능합니다.<Ahn>
Dropper/Agent.25088.CA
MacOS_X/Olyx
EXP/Cve-2011-3544
JAVA/Cve-2012-0507
'AhnLab 보안in' 카테고리의 다른 글
| 이력서에 악성코드가? (0) | 2020.04.15 |
|---|---|
| 페이스북 친구에게 악성코드가? (0) | 2020.04.15 |
| 그들은 해킹으로 말한다 (0) | 2020.04.15 |
| 낚시꾼을 낚는 낚시꾼 (0) | 2020.04.15 |
| 속지말자! “Angry Birds” (0) | 2020.04.15 |
