이메일에 '은밀히' 숨어 정보 빼내는 악성코드

이메일에 '은밀히' 숨어 정보 빼내는 악성코드 * AhnLab / 2013-03-28     특정 대상을 타깃으로 제작된 악의적인 PDF 파일이 최근 이메일의 첨부파일 형태로 유포된 것으로 확인됐다. 악성코드 제작자는 사용자가 첨부파일을 실행하도록 유도한 뒤 감염된 악성코드를 통해 키보드 입력 정보와 시스템 정보를 탈취했다.   사용자가 첨부파일(초X.pdf)을 실행하면 정상적인 PDF(Adobe.pdf) 파일이 실행된다. 이는 악성코드에 감염된 것을 인지할 수 없도록 하기 위한 것으로 보인다. 본문은 러시아어로 작성돼 있다.     [그림 1] 이메일 첨부파일(초X.pdf) 실행 화면   악성 PDF 파일이 실행되면 Adobe Reader 취약점(CVE-2011-0611)을 통해 [그림 2]와 같은 파일이 생성된다.     [그림 2] 생성 파일 정보   Winword.js 파일은 난독화된 VBS 파일이며 실행파일(PE)을 생성하는 기능을 수행한다. Winword.js 파일이 실행되면 Temp 폴더 하위에 SWF 폴더가 생성되며, 해당 폴더에 CamMute.exe 파일과 악성 CommFunc.dll 파일이 생성된다.   [그림 3] Temp 폴더 생성 파일   CommFunc.dll 파일은 CamMute.exe 파일(정상파일)에 로드되어 동작한다. 감염된 악성코드는 사용자의 키보드 입력 정보를 NvSmart.hlp 파일에 저장한다.   NvSmart.hlp 파일을 열어보면 사용자의 키보드 입력 정보가 저장된 것을 확인할 수 있다.   [그림 4] NvSmart.hlp 키로깅 파일   [그림 5] NvSmart.hlp 파일에 저장된 키로깅 정보   이후 키로깅 정보와 시스템 정보 등을 탈취해 특정 서버에 전송할 것으로 추정되지만, 분석 시점에는 연결되지 않았다.   이 악성코드는 V3 제품에서 진단 및 치료가 가능하다.@