포스팅 내용

악성코드 분석 리포트

특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의


안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

특정 기업의 프로젝트 파일처럼 위장한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.



이번에 발견된 악성 메일은 ‘(기계설비, 금속구조물)PROJECT.20181012’ 라는 제목으로 메일 본문에는 첨부된 파일 참조하여 주시기 바랍니다.’ 라는 내용으로 첨부된 파일의 실행을 유도합니다.


[그림 1] 수신된 메일

 

메일에 첨부된 파일 ‘(기계설비,금속구조물)PROJECT.20181012.ace’ 에는 악성 실행 파일 있습니다.


[그림 2] 첨부파일 ‘(기계설비,금속구조물)PROJECT.20181012.ace’

 

만약 이용자가 프로젝트에 대한 자세한 정보를 열람하기 위해 실행할 경우, %TEMP% 경로에 ‘Scanned’ 폴더를 생성하고, 폴더 하위에 ‘scanned.exe’‘scanned.vbs’ 파일을 생성합니다. ‘scanned.exe’는 자가 복제된 악성 파일이고, ‘scanned.vbs’는 자동 실행 레지스트리에 ‘scanned’ 값으로 자기 자신(scanned.vbs) 등록 및 자가 복제된 ‘scanned.exe’ 악성 프로그램을 실행하는 악성 스크립트 입니다.


[그림 3] ‘scanned.vbs’ 실행 코드

 

‘scanned.vbs’ 코드는 다음과 같습니다.


[그림 4] ‘scanned.vbs’ 코드

 

최종적으로 실행되는 프로세스(scanned.exe)는 FormBook 악성코드로 정보 탈취 기능 등을 수행 합니다.

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

 

현재 알약에서는 관련 샘플을 ’Trojan.Injector.567504B'으로 진단하고 있습니다.


티스토리 방명록 작성
name password homepage