본문 바로가기
악성코드 정보

V3 Lite 업그레이드 사칭 악성코드

by DH, L@@ 2014. 11. 28.

"V3 Lite를 최신 버전으로 업그레이드 하세요!"

 

최근 아래와 같이 'AhnLab'을 사칭한 메일이 전송되었다.

 

[그림 1] AhnLab을 사칭한 이메일

 

V3 Lite 업그레이드 권고를 알리는 메일 내용과 더불어 관련 파일이 첨부됐으며, 해당 파일은

Windows 폴더 아이콘으로 위장한 'EXE' 실행 파일이었다.

 

[그림 2] 폴더로 가장한 EXE 실행 파일

 

"알려진 파일 형식의 파일 확장명 숨기기" 기능이 활성화된 Windows 사용자라면 아무런 의심 없이 해당 악성 코드를 실행할 것이며, 필자 또한 폴더 아이콘에 무작정 마우스가 움직였다.

 

악성 코드가 실행되면 'C:\Documents and Settings\[사용자계정]\Local Settings\Application Data'경로에 'local.exe' 파일을 생성하며, 해당 악성 코드가 위치한 경로 내 파일명(V3Lite설치방법 및 제품번호 Ver3.1976.331.25)과 같은 폴더를 생성한다.

 

악성 코드가 생성한 폴더는 자동으로 FullScreen 상태로 열리며, 사용자가 악성 코드를 실행했다는 걸 눈치 못 채게 하는 치밀함을 보인다. 생성된 폴더 내에는 V3 Lite UI 캡처 이미지 파일과 Serial Number가 기재된 텍스트 파일이 존재한다.

 

[그림 3] 악성 코드 실행 시 생성되는 폴더 내 파일들

 

악성 코드는 추가로 생성한 '_selfmove.bat'의 batch 명령어를 통해 'C:\Documents and Settings\[사용자계정]\Local Settings\Application Data' 경로 내에 'testmove.pdf'로 복제된 뒤, 자가 삭제된다.

 

이후 해당 악성코드는 추가적인 행위를 보이진 않지만, 추가 생성됐던 'local.exe' 악성 코드를 통해 특정 URL과 통신할 것으로 추정할 수 있다.

 

[그림 4] 'local.exe'가 통신할 것으로 추정되는 특정 URL

 

'local.exe' 악성코드가 통신할 C&C로 추정되는 서버는 현재 존재하지 않기 때문에, 정확한 악성 행위는 파악할 수 없으나, 해당 주소로부터 추가적인 악성 코드를 다운로드 할 것으로 예상한다.

 

'local.exe'가 연결을 시도하는 특정 URL은 아래와 같다.

 

hxxp://d.ahn*****.com/***/update2014.php

hxxp://d.ahn*****.com/***/download2014.htm

hxxp://d.ahn*****.com/***/DownLoadSuccess.php

hxxp://d.ahn*****.com/***/DownLoadFail.php

hxxp://d.ahn*****.com/***/ExeFail.php

[표 1] 'local.exe'가 연결을 시도하는 URL

 

첨부된 파일의 궁금증을 유발시키는 메일 문구를 통해 무심코 사용자가 첨부 파일을 다운 및 실행 유도하는 악성 코드 유포방식은 지난 10월부터 시스템 정보를 탈취하는 악성 코드로 이슈화된 'my new photo :)' 스팸 메일의 경우와 유사하다.

 

[그림 5] 악성 코드를 첨부 한 'my new photo' 스팸 메일

 

출처가 불분명한 메일의 첨부파일은 각별한 주의가 요구된다.

 

V3 제품에서는 아래와 같이 진단하고 있다.

 

<V3 제품군의 진단명>

 

Dropper/Win32.Agent (2014.11.21.04)

Trojan/Win32.Agent (2014.11.22.01)

댓글