상세 컨텐츠

본문 제목

매우 성가신 코로나 바이러스 스크린락커 발견돼

국내외 보안동향

by 알약(Alyac) 2020. 4. 22. 14:30

본문

New Coronavirus screenlocker malware is extremely annoying


가짜 WiFi 해킹 프로그램이 코로나 바이러스를 악용한 새로운 악성코드를 배포하는 것으로 나타났습니다. 


이 악성코드는 사용자가 윈도우를 사용하지 못하게 하며 짜증을 유발하는 소리를 냅니다.


스크린락커는 사용자가 윈도우에 로그인할 때 잠금 화면을 표시하여 사용자가 윈도우 운영 체제를 정상적으로 이용하지 못하도록 하는 악성 프로그램입니다.


보안 연구원인 Max Kersten은 지난주 친구가 'wifihacker.exe' 프로그램에 감염된 후 'CoronaLocker'라 명명된 이 새로운 스크린락커를 발견하게 되었습니다.


이 악성코드가 설치되면 수많은 VBS 파일과 배치파일을 추출합니다. 이 파일이 함께 사용될 경우 매우 성가신 스크린락커 기능이 생성됩니다.



[그림 1] 추출된 파일들

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-coronavirus-screenlocker-malware-is-extremely-annoying/>



VBS 파일들 중 하나인 'speakwh.vbs'는 음성 합성을 통해 “코로나 바이러스”라는 음성을 끊임없이 반복해서 들려주며 사용자의 짜증을 유발합니다.



[그림 2] Speakwh.vbs 파일

<이미지 출처: https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/>



이 악성코드가 설치되면, 컴퓨터는 재부팅되고 사용자에게 “코로나 바이러스에 감염되었습니다”라는 잠금화면이 표시됩니다. 


이 화면은 공격자와 연락이 가능한 이메일 주소인 ‘computertricks2018@gmail.com’를 포함하고 있었습니다.



[그림 3] 컴퓨터 재시작 후 표시되는 화면

<이미지 출처: https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/>



사용자가 윈도우에 로그인하면, systemdestroyer0108@gmail.com 이메일 주소가 포함된 잠금 화면을 보게 됩니다. 


반가운 소식은 해당 창에 ‘vb'를 입력한 후 OK 버튼을 누르면 이 스크린을 끄고 윈도우 데스크톱을 사용할 수 있다는 것입니다.



[그림 4] 스크린락커 프롬프트 창

<이미지 출처: https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/>



악성코드는 다양한 레지스트리 설정을 통해 작업 관리자나 명령 실행이 불가능하도록 만들고, 데스크톱 아이콘을 숨기고 시작 메뉴를 비활성화하는 등 여러 악성 활동을 실행합니다.


어떤 레지스트리 항목이 수정되는지는 Kersten의 블로그에서 확인하실 수 있습니다.


이 악성코드가 어떻게 배포되는지는 알려지지 않았지만, 유튜브 영상이나 Discord를 통해 배포될 것으로 추측되고 있습니다.


이 악성코드의 시연 영상은 여기에서 확인하실 수 있습니다. 현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Ransom.ScreenLocker'으로 탐지 중입니다.





출처:

https://www.bleepingcomputer.com/news/security/new-coronavirus-screenlocker-malware-is-extremely-annoying/

https://maxkersten.nl/binary-analysis-course/malware-analysis/corona-locker/

관련글 더보기

댓글 영역