2013년 6월 29일에 최초 발견되었던 BAckdoor.Adwind 악성코드(트로이목마)가 이메일을 타고 스팸메일 형태로 다시 유포되기 시작하였습니다.
이메일은 제목은 "Revised Profirma Invoice"이고 발신자는 sales 이름의 불특정 메일주소로 발송되며 내용은 다음과 같습니다 :
Well received the proforma invoice. Pls find attach the signed copy.
Today we have made the second payment US$32.000 but the bank
Rejected the A/C no.:
A/c no: 78211488000002421 (incorrect)
Swift: evercnbjsz1 (incorrect)
Confirm the bank details on the attach proforma invoice to
Complete the T/T.
마치 무역관련 메일로 위장하여 보내진 스팸메일은 첨부파일에 INV#6458.zip 파일과 같은 형식의 첨부 파일을 포함하고 있으며 이 첨부파일에는 INV#6458.jar 트로이목마 파일이 들어있습니다.
이 악성코드는 트로이목마로서 백도어로 동작하며 PC에 내려받으면 백도어를 열어서 추가적인 위협을 발생시키게 됩니다. 본 악성코드는 Java 로 만들어져 있으며 윈도우, Mac OS, 리눅스 모두를 감염시킬 수 있으며 %UserProfile% 폴더 아래에 설치됩니다.
이 백도어는 외부에서 URL로 접속이 가능하며 다음과 같은 동작을 할 수 있습니다 :
- 스크린샷 찍기
- 웹캠 접속
- 파일 시스템에 접속하여 파일 읽기, 쓰기, 삭제
- 실행파일 다운로드와 실행
- 로그 키스트로크
- 오디오 메시지 재생
- 마우스 및 키보드 조절
현재 본 악성코드는 어베스트에서 검출하지 못하고 있으며 당사 스팸서비스인 스팸블록에서 사용하는 카스퍼스키 역시 검출하지 못하기 때문에 주의 부탁드립니다
바이러스토털 :
응급 조치 :
시만텍 https://www.symantec.com/security_response/writeup.jsp?docid=2013-070113-1904-99&tabid=3 참조
작성 : 어베스트코리아 (http://www.avastkorea.com)
'새로운 소식' 카테고리의 다른 글
| [버그안내] 어베스트 브라우저클린업 한글버전 오류 안내 (0) | 2015.08.13 |
|---|---|
| 어베스트 백신 윈도우 10 지원 여부 안내 (0) | 2015.07.31 |
| 어베스트 크랙버전 사용하시면 오히려 바이러스에 감염되므로 주의하세요 (0) | 2015.07.27 |
| 빠르게 다가오는 자동차 해킹 위험 (0) | 2015.07.27 |
| 아이폰을 위협하는 랜섬웨어 iScam 위협이 현실로 (0) | 2015.07.21 |