corona2 신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5. 주의! 실시간 코로나19 현황 프로그램을 위장한 악성코드 유포 ASEC 분석팀은 국내와 일본 사용자를 대상으로 코로나 바이러스와 관련된 악성코드가 유포되고 있는 것을 확인하였다. 해당 악성코드는 코로나19 현황을 나타내는 팝업창을 생성하고 Temp 경로에 악성 파일을 드롭 후 실행한다. 이때 사용자 몰래 악성 파일이 생성되기 때문에 팝업창만 확인시 마치 정상 코로나 현황 프로그램으로 착각할 수 있어 사용자의 주의가 필요하다. 유포중인 파일은 아래와 같은 데이터를 디코딩 후, 특정 프로세스에 디코딩된 데이터를 인젝션(injection) 한다. 인젝션(injection) 된 데이터는 Temp 경로에 “국내 코로나 실시간 현황.exe”(정상) 와 “jjutest1.exe”(악성) 명으로 파일을 드롭 후 실행한다. “국내 코로나 실시간 현황.exe” 파일은 아래와 같이 코.. 2020. 2. 26. 이전 1 다음
