‘XX이 협박용’ 파일명을 가진 악성코드 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 ‘XX이 협박용’이라는 파일명을 가진 악성코드가 발견되어 이용자들의 주의를 당부 드립니다.

이번에 발견된 'XX이 협박용.scr' 악성코드를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에 'LocalDQhZjmCUTx.exe' PE 파일과 'LocalZaMiXJBzqg.mp4' 동영상 파일을 드롭 및 실행합니다. 공격자는 다음의 동영상 화면을 통해 PE 파일 실행을 숨기려한 것으로 보여집니다.

[그림 1] LocalZaMiXJBzqg.mp4' 동영상 파일 재생 화면

파일 실행 및 드롭 코드는 아래와 같습니다.

   

[그림 2] 파일 드롭 및 실행 코드

드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 파일은 닷넷으로 제작된 'njRAT'와 유사하며, jongttttt.codns.com (221.164.241.219)에 접속합니다. 또한 키로깅, 웹캠 액세스 등의 다양한 악성 기능을 포함하고 있어, 감염 시 정보 유출 등의 피해가 발생할 수 있습니다.

 

[그림 3] 키로깅 코드 중 일부

따라서 악성코드에 감염이 되지 않기 위해서는 검증되지 않은 파일을 실행하기 전, 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서 관련 악성코드를 ‘Trojan.Dropper.4729344B’, 'Trojan.Agent.921600', 'Trojan.Dropper.2023424C'로 진단하고 있습니다.