포스팅 내용

악성코드 분석 리포트

한글자막이 포함된 원피스 최신동영상으로 위장한 악성코드 주의!


한글자막이 포함된 원피스 최신동영상으로 위장한 악성코드 주의!


유명 애니메이션 '원피스(One Piece)' 최신 동영상파일로 위장한 악성코드가 발견되어 주의가 필요합니다.

이번에 발견된 악성코드는 곰플레이어의 동영상 아이콘으로 위장하고 있으며, '원피스 704화'라고 구체적인 내용을 설명하는 파일명을 가지고 있습니다. (참고로 원피스 704화는 2015년 8월 초에 나온 최신에 가까운 내용입니다.) 





사용자가 해당 파일을 더블클릭하면 실제로 한글자막이 입혀진 원피스 애니메이션 동영상 파일이 실행되면서 동시에 한편으로는 악성코드가 실행되게 됩니다.





해당 악성코드는 일단 실행되면, 감염시스템에 백도어를 설치하고 특정 C&C서버로 접속을 시도하게 됩니다. 특히, 사용자 입장에서는 정상적으로 동영상이 실행되기 때문에 악성코드 감염을 의심하지 않게 될 수 있습니다.


문제가 되는 이번 악성코드는 정확한 출처는 확인되지 않으나 웹하드나 토렌트등으로 유포되고 있는 것으로 보이며, 한글자막이 입혀진 애니메이션 동영상으로 위장하고 있다는 점에서 국내 사용자를 타겟으로 한 악성코드로 추측됩니다. 


알약에서는 해당 악성코드에 대해 Trojan.Scar.eodq 로 탐지하고 있습니다.





  1. 2015.09.04 17:29  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2015.09.22 18:59 신고  수정/삭제

      안녕하세요. 알약입니다. 말씀하신 것처럼 곰플레이어가 설치되어 있지 않아도 악성코드가 의도적으로 적용한 아이콘이기 때문에 동일한 아이콘이 나타나게 됩니다. 해당 파일 자체를 실행하면 악성코드가 실행되면서 만약 PC에 곰플레이어가 설치되어 있다면 곰플레이어로 동영상이 실행되구요. PC에 다른 미디어플레이어가 설치되어 있다면 해당 미디어플레이어로 동영상이 실행됩니다. 여기서 실행되는 동영상 플레이어는 사용자가 동영상 포맷 기본실행을 설정한 동영상 플레이어가 기본동작하시는 것이라 보시면 됩니다.

티스토리 방명록 작성
name password homepage