2009년 9월 25일 후배로부터 아는 형으로부터 메일이 와서 열어봤더니 컴퓨터가 이상하다는 전화를 받았다. 메일을 받아 확인해보니 V3에서 JS/Shellcode (2009.09.25.00 이후 엔진)로 추가된 신종 악성코드였다.
– 제목 : 안녕하세요! 90 아름다움 후
– 내용 : 확장자가 VBS 파일이 웹사이트 주소
메일 제목은 가변적일 수 있다.
이 VBS 파일이 실행되면 해킹된 국내 웹사이트에서 footer.jpg 파일을 다운로드 받고 C:oko.exe로 실행한다.
http://www.ho*****.co.kr/system/admin/v***or/***/footer.jpg
oko.exe는 또 다른 다운로더로 다른 악성코드를 다운로드 하며 V3 제품군에서는 다음과 같이 진단된다.
Win-Trojan/Hupigon.252928.P
Win-Trojan/Hupigon.288256.CE
Win-Trojan/Downloader.65024.AJ
아는 사람이 보낸 메일이라고해도 첨부된 파일이나 웹사이트 주소 링크를 클릭하면 악성코드에 감염될 수 있으니 주의해야한다.
Categories:악성코드 정보