본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

이메일 첨부파일로 유포되는 .jar 악성코드 발견, 사용자 주의!

보안공지 2014-10-08

안녕하세요. 알약입니다.
최근 이메일 첨부파일 형태로 유포되는 .jar 악성코드가 발견되어 사용자의 각별한 주의가 요구됩니다.



.jar 악성코드가 첨부된 피싱 메일

.jar 악성코드가 첨부된 피싱 메일


 

최근에는 개발자뿐만 아니라, 웹게임이나 채팅 프로그램 등을 사용하는 일반 사용자들의 컴퓨터에도 자바 파일을 실행할 수 있는 JRE(Java Runtime Environment)가 많이 설치되어 있습니다. 자바가 설치되어 있는 환경에서는 .jar 파일에 대한 기본 실행 프로그램이 자바로 설정되어있어, 별도의 압축 프로그램 없이도 이를 열어볼 수 있습니다. 따라서 해당 파일을 더블클릭하면 .exe 파일처럼 어떠한 경고창도 없이 바로 실행시킬 수 있습니다. .exe 파일이 아닌 .jar 파일을 유포하는 이유로는 .jar 파일을 마주했을 때, 해당 파일의 구성을 확인하기 위해 습관적으로 더블클릭하는 개발자를 노린 것이 아닐까 추정하고 있습니다.


이번에 발견된 Docs.jar 파일은 자바용 RAT 파일로, 사용자 정보(PC정보, OS정보, 맥정보, OS버전, 시스템루트 등)탈취, 웹캠의 라이트 해제, 네트워크 어뎁터의 라이트 해제, 기본적인 RAT행위(다운로드, 업로드, 스크린샷, 파일삭제, 파일실행 등)등의 악성 행위를 수행합니다. 또한 해당 악성코드는 1시간마다 년-월-일-시(2014-10-08-10.txt)로 파일을 만들어 사용자 컴퓨터를 키로깅합니다.


JNativeHook 라이브러리를 이용하기 때문에 Windows 뿐만 아니라, 리눅스, 맥 OS까지 모두 키로깅이 가능합니다.


현재 알약에서는 해당파일에 대하여 Trojan.Java.RAT.A로 탐지하고 있으며, 변종이 발견되는대로 추가 업데이트 할 예정입니다.


감사합니다.