포스팅 내용

악성코드 분석 리포트

‘XX이 협박용’ 파일명을 가진 악성코드 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 ‘XX이 협박용’이라는 파일명을 가진 악성코드가 발견되어 이용자들의 주의를 당부 드립니다.


이번에 발견된 'XX이 협박용.scr' 악성코드를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에 'LocalDQhZjmCUTx.exe' PE 파일과 'LocalZaMiXJBzqg.mp4' 동영상 파일을 드롭 및 실행합니다. 공격자는 다음의 동영상 화면을 통해 PE 파일 실행을 숨기려한 것으로 보여집니다.


[그림 1] LocalZaMiXJBzqg.mp4' 동영상 파일 재생 화면


파일 실행 및 드롭 코드는 아래와 같습니다.


   

[그림 2] 파일 드롭 및 실행 코드


드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 파일은 닷넷으로 제작된 'njRAT'와 유사하며, jongttttt.codns.com (221.164.241.219)에 접속합니다. 또한 키로깅, 웹캠 액세스 등의 다양한 악성 기능을 포함하고 있어, 감염 시 정보 유출 등의 피해가 발생할 수 있습니다.

 

[그림 3] 키로깅 코드 중 일부


따라서 악성코드에 감염이 되지 않기 위해서는 검증되지 않은 파일을 실행하기 전, 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서 관련 악성코드를 ‘Trojan.Dropper.4729344B’, 'Trojan.Agent.921600', 'Trojan.Dropper.2023424C'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage