국내에서 많은 사용자가 쓰고 있는 유명 압축프로그램을 위장한 원격제어 악성코드(RAT, Remote Access Tool) 가 확인되었다. 악성 파일은 해당 압축프로그램 v10.86 파일의 버전 정보와 아이콘 정보, 디지털 서명 인증서를 그대로 가져다 사용하였다. 물론 악성 파일은 실제 서명된 파일이 아니기 때문에 인증서가 유효하지 않다. 하지만 유효 여부와 상관없이 인증서 정보를 포함함으로써 안티바이러스 제품의 탐지 조건을 일부 회피할 수 있기 때문에 사용자의 주의와 관심이 필요하다.
악성 파일은 불특정 다수를 대상으로 일명 좀비 PC로 만들기 위한 원격제어 목적의 RAT 파일로서, 다음과 같은 특징과 기능이 있다. (이와 같은 부류의 악성코드에 대한 보다 상세한 내용은 다음 블로그 글을 참고한다. https://asec.ahnlab.com/1064)
- %ProgramData% 경로에 알집 (ALZip.exe) 이름으로 자가 파일 복제
- 자가 복제 한 파일을 자동실행 되도록 레지스트리에 등록
- 자가 복제 한 파일을 윈도우 방화벽에 예외 파일로 등록 - netsh firewall add allowedprogram
- 공격자와 커넥션을 하기 위해 통신 시도 - tae98864.kro.kr (대한민국 인천광역시 소재)
- 커넥션 성공 이후에는 명령을 받아 다양한 RAT 백도어 기능 수행 가능
안랩의 ASD 인프라로 수집된 정보를 바탕으로 보면, 악성 파일은 주로 불법 웹하드를 통해 성인물 만화, 성인 게임 등의 압축 파일(*.pak) 형태로 유포된 것으로 보인다. (일부 * 마스킹 처리)
%SystemDrive%\users\%ASD%\desktop\병아리\lust_and_power-1.9-pc\lib\windows-i686\libjpeg-63.dll
%SystemDrive%\users\%ASD%\desktop\도망중 ~ 잡히면 즉시** !\game.pak
%SystemDrive%\fm2014 - 3.1 -\새 폴더\신장성희 에레멘티아 ~굴욕의 ** 최면~\data.dll
d:\lust_and_power-1.9-pc\lib\windows-i686\libjpeg-63.dll
d:\도망중 ~ 잡히면 즉시** !\game.pak
d:\respon\신장성희 에레멘티아 ~굴욕의 ** 최면~\data.dll
d:\게임파일\새 폴더\학교에서 욕구를 푸는 **괴물\plugin\data.dll
%SystemDrive%\feat1\마왕의 사역마 v1.03\locales\ws.pak
안랩에서는 위의 악성코드들에 대해 다음과 같이 진단 중이다.
- Trojan/Win32.Korat (2019.03.07.00)
- MDP/MDP.Drop.489 외
[사용자 보안 가이드]
악성 EXE 파일이 문서 또는 압축프로그램 아이콘으로 위장하는 경우가 많습니다. 아래와 같이 [탐색기] - [폴더 옵션] 에서 파일 확장명 숨기기 옵션을 해제하면 전체 확장자까지 표시됩니다. 실행 확장자가 EXE 일 경우에는 실행 가능한 응용프로그램이니 한번 더 확인 후 파일을 실행하시길 권고 드립니다.
'악성코드 정보' 카테고리의 다른 글
| 코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드 (0) | 2019.03.15 |
|---|---|
| 기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어) (0) | 2019.03.08 |
| 해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?) (0) | 2019.03.07 |
| 닷넷(.NET) 외형으로 유포되는 GandCrab 랜섬웨어 v5.2 (0) | 2019.03.06 |
| 'CLOP'랜섬웨어 'CIOP'로 이름 변경 (제작자의 농간?) (1) | 2019.03.04 |
댓글