암호를 입력해야만 작동하는 악성 매크로 파일 주의!

암호를 입력해야만 작동하는 악성 매크로가 국내에 다수 유포되고 있어 사용자들의 주의가 필요합니다. 

사용자가 악성 매크로가 포함된 DOC 파일을 클릭하면, 암호를 입력하라는 창이 뜹니다. 

[그림 1] 암호 입력 창

이스트시큐리티에서는 샘플만 수집하였기 때문에 아직 어떠한 형태로 유포되는지는 정확하게 확인되지 않았지만, 이메일을 통해 유포될 것으로 추정되며 암호는 이메일 내용에 포함되어 있을 것으로 추측됩니다. 

해당 파일에 암호를 건 이유는 스팸 솔루션을 우회하려고 시도한 것이 아닌가 추측됩니다. 

사용자가 암호를 입력하면 아래와 같이 워드파일의 본문 내용이 보여지며 매크로를 실행하라는 문구를 보여줍니다. 

 [그림 2] 매크로 실행을 유도하는 DOC 파일

만약 사용자가 [콘텐츠 사용]을 클릭하면 워드 파일에 포함되어 있는 악성 매크로가 실행하게 됩니다. 해당 스크립트는 http://209.141.61.249/516.exe 에 접속한 후 사용자의 %temp% 폴더 아래 경로에 ‘qwerty2.exe’라는 이름으로 파일을 다운로드 한 후 악성코드를 실행합니다.

 

[그림 3] 실행되는 스크립트 코드

 

따라서 사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

알약에서는 해당 샘플들에 대하여 ‘Trojan.Downloader.W97M.Gen’, ‘Trojan.VB.Injector.Gen’으로 탐지중에 있습니다.  

※ 관련글 보기

▶ 매크로를 이용한 송장 관련 악성 메일 유포 주의

▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요

▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의

▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의