포스팅 내용

악성코드 분석 리포트

페이스북 메신저로 전달되는 비디오 위장 악성파일 가상화폐 채굴 기능 주의



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지난 주말부터 동영상 파일로 위장한 악성프로그램이 페이스북(Facebook) SNS 메시지를 통해 다수 전파되고 있어 각별한 주의가 필요합니다.





이번에 발견된 악성파일은 주로 페이스북 친구들에게 전파되었으며, 'video_(임의의 숫자 조합).zip' 형태가 사용되었습니다.



[그림 1] 페이스북 메신저로 유포된 악성파일 주의 내용



만약 페이스북 이용자가 메신저로 해당 파일을 다운로드해 압축을 해제한 후 실행할 경우 감염이 이뤄지게 됩니다.


악성파일은 비디오 동영상 파일처럼 위장하고 있지만, 실제로는 2중 확장자의 Video_(임의의 숫자 조합).MP4.EXE 실행파일입니다. 



[그림 2] 동영상 압축 파일로 위장한 악성파일 화면



악성파일 역시 동영상 파일 아이콘으로 위장하고 있으며, Autoit 프로그램으로 제작되어 있고, 인터넷이 연결되어 있지 않거나 페이스북 조건이 성립되지 않으면 오류 메시지가 나타날 수 있습니다.



[그림 3] 악성 파일 아이콘 화면과 오류 메시지 창



Autoit 스크립트는 분석을 방해하기 위해 코드 내부의 스트링 값들을 난독화해 두었으며, 특정 해외 사이트와 통신을 하고 동영상 재생에 필요한 코덱 파일처럼 위장한 'codec.exe' 악성파일을 추가 다운로드해 실행합니다.



[그림 4] Autoit 내부 난독화 코드 화면



그리고 원래 동영상으로 위장했던 악성 파일도 'updater.exe' 파일명으로 복사본을 생성합니다.



생성 경로 : C:\Users\(이용자계정)\AppData\Roaming\User



 [그림 5] 코덱 파일로 위장한 악성 파일 화면



이러한 악성파일에 감염되면 본의 아니게 SNS 지인들에게 악성파일 유포자가 될 수 있으며, 가상화폐 채굴 기능으로 인한 컴퓨터 리소스 소모나 추가 악성 파일에 따라 개인 정보 유출 등의 피해를 입을 수도 있습니다.


'codec.exe' 파일이 실행되면 동일 경로에 'miner.exe' 파일을 하기 경로에서 다운로드해 실행하고 모네로 가상화폐 채굴 기능을 작동합니다.



다운로드 경로 : hxxp://mabmw.vijus.bid/api/apple/miner.exe




[그림 6] 가상화폐 채굴 기능 작동 화면



알약에서는 Trojan.Autoit.973824 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.




  1. 밤의전설 2017.12.19 20:08 신고  수정/삭제  댓글쓰기

    스마트폰으로 다운받은것은 어떻게 해야되나요..

    • 알약(Alyac) 2017.12.20 09:02 신고  수정/삭제

      안녕하세요. 이스트시큐리티입니다. 해당 포스팅 관련 이슈는 PC사용자를 노린 공격이오나, 악성 apk 등 같은 방법으로 스마트폰을 노린 공격도 이루어 질 수 있으므로 의심스러운 메시지에 포함된 다운로드 링크 등은 항상 주의하시길 바랍니다. 감사합니다.

  2. 궁금합니다 2017.12.24 17:11 신고  수정/삭제  댓글쓰기

    가상머신에서 실험해보고 싶은데요. 샘플파일 구할수 없나요???

    • 알약(Alyac) 2017.12.26 10:15 신고  수정/삭제

      안녕하세요? 이스트시큐리티입니다. 보안 업체에서는 어떠한 목적이라도 개인에게 샘플 정보 및 파일을 제공해 드리지 않습니다. 요청해주신 부분은 제공해드리기 어려운 점 양해 부탁드립니다. 감사합니다.

  3. 궁금해요 2017.12.26 23:27 신고  수정/삭제  댓글쓰기

    저 악성코드에 감염되었는데요, 컴퓨터를 켤 때마다 같은 악성코드(bitcoinminer)를 감지하고 치료해도 컴퓨터를 다시 껐다 켜면 감지됩니다. 해당 파일(cherry.exe) 을 찾아 지우려 하면 파일이 열려 있어서 삭제가 불가능하다고 뜨는데, 열려 있는 파일이 없습니다. 어떻게 해결해야할까요?

  4. 으잉 2017.12.30 22:55 신고  수정/삭제  댓글쓰기

    이미 모바일 페메로 온걸 다운받았는데 대처방안 있나요? ㅠㅠㅠㅠㅠ

티스토리 방명록 작성
name password homepage