포스팅 내용

악성코드 분석 리포트

세무사 사무실 사칭 악성 메일 주의


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 세무사 사무실을 사칭한 악성 메일로 사용자 정보를 탈취하는 악성코드가 발견되어 사용자들의 주의를 당부드립니다.

 

이번에 발견된 악성 메일은 세무사 사무실 입니다는 내용으로 첨부된 파일의 실행을 유도합니다.

 

[그림 1] 악성 메일 본문


악성 메일에 첨부된 파일 ‘432540098765.zip’에는 화면 보호기 파일(Document1.scr)로 위장한 실행 파일이 있습니다


[그림 2] 첨부파일 ‘432540098765.zip’


만일 이용자가 파일을 실행할 경우, 명령어에 의해 %temp%svhost.exe파일이 생성되고 실행됩니다인젝션 되어 실행되는 ‘svhost.exe’C&C에 연결하고, 정보 탈취 기능을 수행합니다.


           [그림 3] svchost.exe에 정보 탈취하는 악성코드를 인젝션 하는 화면


 URL: http://ergoners.com/zenox/zenoxonline/images/downloads/ceaser/Proxy/

 IP: 79.124.59.74 (불가리아)

 [표 1] C&C 정보  


이스트시큐리티 통계 자료에 의하면 감염된 지역 분포는 아래와 같습니다.


[그림 4] 지역별 탐지 통계


[그림 5] 감염자 추세


악성 HTM 파일이 첨부된 회신 요청 메일악성코드가 첨부된 무역 관련 악성 메일 등 다양한 형태로 악성코드들이 이메일로 유포되고 있으니 각별한 주의 바랍니다

 

해당 악성코드는 감염자중 50%에 가까운 사람이 치료버튼을 누르지 않았는데 이는 사회공학적인 방법 특성상 백신이 탐지해도 사람을 통해 우회할 수 있는 그 자체로 강력한 기능을 가질 수 있습니다.

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서 관련 악성코드를 Trojan.Agent.543352B'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage