상세 컨텐츠

본문 제목

불법 한국영화 파일과 함께 유포되고 있는 악성CHM 파일 주의!

악성코드 분석 리포트

by 알약(Alyac) 2015. 12. 24. 18:45

본문


12월 중순 경부터, 한국영화 '열정같은 소리하고 있네'의 불법공유파일이 악성CHM파일과 함께 토렌트 커뮤니티를 중심으로 유포되고 있습니다. 
해당 악성코드의 경우, 실제로 재생이 가능한 영화파일과 함께 다운로드되는 악성CHM파일이며 꼭 필독하라는 내용의 파일명을 통해 사용자들의 클릭을 유도하고 있습니다.

토렌트 커뮤니티의 특성상 기존에 한번 공유된 파일들이 다른 커뮤니티에서도 동시에 공유되는 경우가 많기 때문에 많은 사용자들이 악성코드 감염 위협에 노출되고 있는 상황입니다.

<악성CHM파일이 포함된 실제 토렌트파일 소개 화면>



공유되는 불법토렌트 파일을 통해 영화 다운로드를 진행하면, 아래와 같이 영화파일과 함께 같은 폴더내에 악성CHM파일이 함께 다운로드 됩니다. 해당 파일은 '꼭 필독...♥'이라는 파일명을 통해 사용자의 클릭을 유도하고 있습니다.

<'꼭 필독...♥'이라는 파일명을 가진 악성 CHM 관련 내용 내부에 razor.htm파일이 존재>  



악성CHM파일을 사용자가 실행할 경우, 'hddczz.exe'라는 파일을 추가로 다운로드합니다. 

해당 파일은 explorer에 인젝션되어 동작하며, 특정 IP 주소로 접속을 시도합니다. 또한 특정 경로에 자기자신을 복사하는 동작도 수행합니다.



토렌트파일은 악성코드가 유포되는 주요통로 중 하나로 이전부터 계속 활용되고 있으며, 최근엔 토렌트파일 다운로드 등을 통해 랜섬웨어에 감염되는 사례들도 급증하고 있는 상황입니다. 저작권이 있는 영화파일 및 기타 자료 등을 토렌트를 통해 다운로드하는 행위는 불법이며, 사용자PC환경이 악성코드 감염에 노출되기 쉬운 지름길이기도 합니다. 


알약에서는 해당 악성파일에 대해 Trojan.Downloader.Agent.13424Backdoor.DarkKomet.gen 로 탐지하고 있습니다.








관련글 더보기

댓글 영역