포스팅 내용

악성코드 분석 리포트

암호를 입력해야만 작동하는 악성 매크로 파일 주의!


암호를 입력해야만 작동하는 악성 매크로가 국내에 다수 유포되고 있어 사용자들의 주의가 필요합니다. 


사용자가 악성 매크로가 포함된 DOC 파일을 클릭하면, 암호를 입력하라는 창이 뜹니다. 


[그림 1] 암호 입력 창


이스트시큐리티에서는 샘플만 수집하였기 때문에 아직 어떠한 형태로 유포되는지는 정확하게 확인되지 않았지만, 이메일을 통해 유포될 것으로 추정되며 암호는 이메일 내용에 포함되어 있을 것으로 추측됩니다. 


해당 파일에 암호를 건 이유는 스팸 솔루션을 우회하려고 시도한 것이 아닌가 추측됩니다. 


사용자가 암호를 입력하면 아래와 같이 워드파일의 본문 내용이 보여지며 매크로를 실행하라는 문구를 보여줍니다. 


 [그림 2] 매크로 실행을 유도하는 DOC 파일


만약 사용자가 [콘텐츠 사용]을 클릭하면 워드 파일에 포함되어 있는 악성 매크로가 실행하게 됩니다. 해당 스크립트는 http://209.141.61.249/516.exe 에 접속한 후 사용자의 %temp% 폴더 아래 경로에 ‘qwerty2.exe’라는 이름으로 파일을 다운로드 한 후 악성코드를 실행합니다.

 

[그림 3] 실행되는 스크립트 코드

 

따라서 사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다


알약에서는 해당 샘플들에 대하여 Trojan.Downloader.W97M.Gen’, ‘Trojan.VB.Injector.Gen으로 탐지중에 있습니 




티스토리 방명록 작성
name password homepage