상세 컨텐츠
본문
New Coronavirus screenlocker malware is extremely annoying
가짜 WiFi 해킹 프로그램이 코로나 바이러스를 악용한 새로운 악성코드를 배포하는 것으로 나타났습니다.
이 악성코드는 사용자가 윈도우를 사용하지 못하게 하며 짜증을 유발하는 소리를 냅니다.
스크린락커는 사용자가 윈도우에 로그인할 때 잠금 화면을 표시하여 사용자가 윈도우 운영 체제를 정상적으로 이용하지 못하도록 하는 악성 프로그램입니다.
보안 연구원인 Max Kersten은 지난주 친구가 'wifihacker.exe' 프로그램에 감염된 후 'CoronaLocker'라 명명된 이 새로운 스크린락커를 발견하게 되었습니다.
이 악성코드가 설치되면 수많은 VBS 파일과 배치파일을 추출합니다. 이 파일이 함께 사용될 경우 매우 성가신 스크린락커 기능이 생성됩니다.
[그림 1] 추출된 파일들
<이미지 출처: https://www.bleepingcomputer.com/news/security/new-coronavirus-screenlocker-malware-is-extremely-annoying/>
VBS 파일들 중 하나인 'speakwh.vbs'는 음성 합성을 통해 “코로나 바이러스”라는 음성을 끊임없이 반복해서 들려주며 사용자의 짜증을 유발합니다.
[그림 2] Speakwh.vbs 파일
<이미지 출처: https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/>
이 악성코드가 설치되면, 컴퓨터는 재부팅되고 사용자에게 “코로나 바이러스에 감염되었습니다”라는 잠금화면이 표시됩니다.
이 화면은 공격자와 연락이 가능한 이메일 주소인 ‘computertricks2018@gmail.com’를 포함하고 있었습니다.
[그림 3] 컴퓨터 재시작 후 표시되는 화면
<이미지 출처: https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/>
사용자가 윈도우에 로그인하면, systemdestroyer0108@gmail.com 이메일 주소가 포함된 잠금 화면을 보게 됩니다.
반가운 소식은 해당 창에 ‘vb'를 입력한 후 OK 버튼을 누르면 이 스크린을 끄고 윈도우 데스크톱을 사용할 수 있다는 것입니다.
[그림 4] 스크린락커 프롬프트 창
<이미지 출처: https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/>
악성코드는 다양한 레지스트리 설정을 통해 작업 관리자나 명령 실행이 불가능하도록 만들고, 데스크톱 아이콘을 숨기고 시작 메뉴를 비활성화하는 등 여러 악성 활동을 실행합니다.
어떤 레지스트리 항목이 수정되는지는 Kersten의 블로그에서 확인하실 수 있습니다.
이 악성코드가 어떻게 배포되는지는 알려지지 않았지만, 유튜브 영상이나 Discord를 통해 배포될 것으로 추측되고 있습니다.
이 악성코드의 시연 영상은 여기에서 확인하실 수 있습니다. 현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Ransom.ScreenLocker'으로 탐지 중입니다.
출처:
https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/
'국내외 보안동향' 카테고리의 다른 글
| DoppelPaymer 랜섬웨어, 로스앤젤레스 카운티 시 공격 후 파일 공개 (0) | 2020.04.23 |
|---|---|
| 아이폰에 이메일만 보내면 해킹이 가능한 제로데이 취약점 발견 (0) | 2020.04.23 |
| IBM이 패치 거부 의사를 밝힌 후 IBM 제로데이 4개 공개돼 (0) | 2020.04.22 |
| Webkinz 어린이 게임의 2,300만 사용자 계정 및 패스워드 유출돼 (0) | 2020.04.21 |
| 공격자들, 코로나 바이러스를 미끼로 사용한 데이터 탈취 악성코드로 SCADA 부문 노려 (0) | 2020.04.21 |
댓글 영역