불법 한국영화 파일과 함께 유포되고 있는 악성CHM 파일 주의!

12월 중순 경부터, 한국영화 '열정같은 소리하고 있네'의 불법공유파일이 악성CHM파일과 함께 토렌트 커뮤니티를 중심으로 유포되고 있습니다. 

해당 악성코드의 경우, 실제로 재생이 가능한 영화파일과 함께 다운로드되는 악성CHM파일이며 꼭 필독하라는 내용의 파일명을 통해 사용자들의 클릭을 유도하고 있습니다.

토렌트 커뮤니티의 특성상 기존에 한번 공유된 파일들이 다른 커뮤니티에서도 동시에 공유되는 경우가 많기 때문에 많은 사용자들이 악성코드 감염 위협에 노출되고 있는 상황입니다.

<악성CHM파일이 포함된 실제 토렌트파일 소개 화면>

공유되는 불법토렌트 파일을 통해 영화 다운로드를 진행하면, 아래와 같이 영화파일과 함께 같은 폴더내에 악성CHM파일이 함께 다운로드 됩니다. 해당 파일은 '꼭 필독...♥'이라는 파일명을 통해 사용자의 클릭을 유도하고 있습니다.

<'꼭 필독...♥'이라는 파일명을 가진 악성 CHM 관련 내용 내부에 razor.htm파일이 존재>  

악성CHM파일을 사용자가 실행할 경우, 'hddczz.exe'라는 파일을 추가로 다운로드합니다. 

해당 파일은 explorer에 인젝션되어 동작하며, 특정 IP 주소로 접속을 시도합니다. 또한 특정 경로에 자기자신을 복사하는 동작도 수행합니다.

토렌트파일은 악성코드가 유포되는 주요통로 중 하나로 이전부터 계속 활용되고 있으며, 최근엔 토렌트파일 다운로드 등을 통해 랜섬웨어에 감염되는 사례들도 급증하고 있는 상황입니다. 저작권이 있는 영화파일 및 기타 자료 등을 토렌트를 통해 다운로드하는 행위는 불법이며, 사용자PC환경이 악성코드 감염에 노출되기 쉬운 지름길이기도 합니다. 

알약에서는 해당 악성파일에 대해 Trojan.Downloader.Agent.13424 / Backdoor.DarkKomet.gen 로 탐지하고 있습니다.