포스팅 내용

악성코드 분석 리포트

견적서 요청 내용의 악성 메일 지속적으로 발견중!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


견적서 요청 내용의 악성 메일이 지속적으로 발견되어 사용자들의 주의가 필요합니다. 


유사한 내용의 악성메일은 올해 3월부터 꾸준히 발견되고 있습니다. 



이번에 발견된 악성메일은 견적서 관련 내용으로 유포중에 있으며, 특이한 점은, 이전의 악성메일들과 다르게 수신회사의 도메인 주소를 메일 본문에 첨부해 놓았습니다. 



악성메일 안에는 EXE가 포함된 ACE 압축 파일이 첨부되어 있습니다. 




사용자가 .ace 압축파일에 포함된 .exe 파일을 실행한다면 %TEMP% 경로에 ‘Scanned’ 폴더를 생성하고, 폴더 하위에 ‘scanned.exe’와 ‘scanned.vbs’ 파일을 생성합니다. ‘scanned.exe’는 자가 복제된 악성 파일이며, ‘scanned.vbs’는 자동 실행 레지스트리에 ‘scanned’ 값으로 자기 자신(scanned.vbs) 등록하며, 자가 복제된 ‘scanned.exe’ 악성 프로그램을 실행하도록 하는 악성 스크립트 입니다.



‘scanned.vbs’ 코드는 다음과 같습니다.



scanned.exe 파일이 실행되면, 레지스트리, 스크린샷, 메모리 해킹 등의 방식을 통하여 브라우저와 메일 관련 프로그램에서 민감한 사용자 계정 정보를 탈취합니다. 


사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


알약에서는 해당 샘플들에 대하여 Trojan.Injector.693248B로 탐지중에 있습니다. 



티스토리 방명록 작성
name password homepage