본문 바로가기
악성코드 정보

메일을 통해 퍼지는 스크립트 다운로더

by 알 수 없는 사용자 2011. 10. 25.

2009년 9월 25일 후배로부터 아는 형으로부터 메일이 와서 열어봤더니 컴퓨터가 이상하다는 전화를 받았다. 메일을 받아 확인해보니 V3에서 JS/Shellcode (2009.09.25.00 이후 엔진)로 추가된 신종 악성코드였다.

- 제목 : 안녕하세요! 90 아름다움 후
- 내용 : 확장자가 VBS 파일이 웹사이트 주소


메일 제목은 가변적일 수 있다.


이 VBS 파일이 실행되면 해킹된 국내 웹사이트에서 footer.jpg 파일을 다운로드 받고 C:\oko.exe로 실행한다.


www.ho*****.co.kr/system/admin/v***or/***/footer.jpg

oko.exe는 또 다른 다운로더로 다른 악성코드를 다운로드 하며 V3 제품군에서는 다음과 같이 진단된다.

Win-Trojan/Hupigon.252928.P
Win-Trojan/Hupigon.288256.CE
Win-Trojan/Downloader.65024.AJ



아는 사람이 보낸 메일이라고해도 첨부된 파일이나 웹사이트 주소 링크를 클릭하면 악성코드에 감염될 수 있으니 주의해야한다.

댓글