본문 바로가기
악성코드 정보

주의! 실시간 코로나19 현황 프로그램을 위장한 악성코드 유포

by 분석팀 2020. 2. 26.

ASEC 분석팀은 국내와 일본 사용자를 대상으로 코로나 바이러스와 관련된 악성코드가 유포되고 있는 것을 확인하였다. 해당 악성코드는 코로나19 현황을 나타내는 팝업창을 생성하고 Temp 경로에 악성 파일을 드롭 후 실행한다. 이때 사용자 몰래 악성 파일이 생성되기 때문에 팝업창만 확인시 마치 정상 코로나 현황 프로그램으로 착각할 수 있어 사용자의 주의가 필요하다.

 

 유포중인 파일은 아래와 같은 데이터를 디코딩 후, 특정 프로세스에 디코딩된 데이터를 인젝션(injection) 한다.

 

인코딩된 injection 데이터

인젝션(injection) 된 데이터는 Temp 경로에 국내 코로나 실시간 현황.exe”(정상) 와 jjutest1.exe”(악성) 명으로 파일을 드롭 후 실행한다. 국내 코로나 실시간 현황.exe” 파일은 아래와 같이 코로나19 현황과 관련된 팝업창을 생성한다. 팝업창에 나타나는 데이터는 질병관리본부 홈페이지에서 데이터를 파싱하여 나타내려는 목적으로 보이지만 인코딩의 문제로 정확한 데이터가 나타나지 않는다.

 

실시간 코로나19 현황 팝업창

 

이때 “jjutest1.exe” 악성 파일이 생성되어 실행되므로 사용자가 악성 파일이 생성된 사실을 알아채기 힘들다. 생성된 파일은 자동 실행을 위한 RunKey 등록 및 특정 내부 IP(192.168.123.107:777)에 연결을 시도하며 백도어 유형의 악성코드이다.

 

 유포중인 파일의 버전 정보는 아래와 같다.

전 세계적으로 이슈인 코로나 바이러스에 관련된 악성코드들이 다수 유포되고 있어 사용자는 출처가 불분명한 파일을 실행시 큰 주의가 필요하다.

 

현재 V3 에서는 해당 악성코드들에 대하여 다음과 같은 진단명을 진단하고 있다.

 

[파일 진단]

  • Malware/Win32.RL_Generic.R3617803 (2019.12.07.01)
  • Dropper/Win32.MSILKrypt.R327173 (2020.02.26.00)
  • Trojan/Win32.Fsysna.R202348 (2017.06.13.00)

 

댓글