북핵 관련 문서파일로 위장한 악성코드

 

 최근 북한과의 군사적 긴장 관계를 악용하는 악성코드가 발견되었다. 현재 남한과 북한은 개성공단 폐쇄 및 북한의 미사일 발사 위협 등으로 인해 군사적 위기감이 상당히 높은 상황이다. 이러한 분위기 때문에 실제로 파일을 실행하여 감염되는 사용자가 많을 것으로 보이므로 사용자의 각별한 주의가 요구되는 상황이다.

 

[그림 1] MS워드 파일로 위장한 악성코드

 

특히 이번에 발견된 악성코드는 위와 같이 '차북핵 한국대응조치 결과가 나왔어요.exe' 라는 파일명을 사용하고 있다. 그러나 MS워드 문서 파일 형식의 아이콘을 그대로 사용하고 있지만, 실제 파일 형식은 exe 실행 파일이다.

 

악성코드는 RAR 실행압축 파일로 제작되어 있으며, 해당 파일을 실행하면 12.hwp 한글 문서 파일과 다수의 PE 파일을 생성하는데 그 목록은 다음과 같다.

 

<악성코드 실행 시 생성되는 PE파일 목록>

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gm.exe    

C:\WINDOWS\system32\SVKP.sys    

C:\Documents and Settings\All Users\SysEV\rc.hlp    

C:\Documents and Settings\All Users\SysEV\rc.exe    

C:\Documents and Settings\All Users\SysEV\rcdll.dll    

해당 악성코드를 실행하면 생성되는 12.hwp 파일은 자동으로 한글 프로그램을 통해 열리기 때문에 사용자는 정상 파일이 실행된 것으로 생각하기 쉽다. 그러나 이것은 사용자의 눈을 속이기 위한 동작으로, 백그라운드에서는 악성코드의 감염 과정이 진행되고 있다.

 

[그림 2] 12.hwp 문서가 자동으로 열린 화면

 

이후 악성코드는 생성된 SVKP.sys 파일을 SVKP라는 서비스 명으로 등록하고 주기적으로 동작시킨다.

 

[그림 3] SVKP라는 이름으로 서비스에 등록된 SVKP.sys 파일

 

 

등록된 악성서비스는 아래와 같이 특정 IP로 연결을 시도하지만, 현재는 해당 서버가 동작하지 않아 이후 과정을 확인할 수 없었다.

 

[그림 4] 특정 IP 주소로 접속을 시도하는 서비스 프로세스

 

접속을 시도하는 IP 주소가 이전에 "출장보고서 문서파일로 위장 악성코드" 편에서 다뤘던 IP 주소와 동일한 것으로 보아 동일 조직에서 제작된 악성코드로 보인다. 해당 IP 주소에 해당하는 서버는 중국에 위치하고 있다.

[그림5] 네트워크 연결 정보

 

<V3 제품군의 진단명>

  Dropper/Win32.Agent