최근 이메일의 첨부파일로 특정 대상을 위해 제작하여 유포되었을 것으로 추정되는 한글문서 파일을 위장한 악성코드가 발견되었다. 아래 그림의 왼쪽의 "정상 한글 파일.hwp" 파일이 정상파일이며 오른쪽의 한글 파일과 유사한 아이콘을 가진 "XXX 연구용역 관련.exe"파일이 악성파일이다. 

 

 

아래 "국방정책 최종 자료입니다.exe" 파일은 최근에 발견된 또 다른 유사한 악성코드이다.

 

 

유사한 파일들을 추적해 본 결과 2012년 6월부터 발견되기 시작하였으며 2012년 11월부터 조금씩 발견 건수가 늘어나고 있지만 그 수는 3개 이하이다. 즉, 공격을 시도할 특정 타겟에게만 유포가 되는 것으로 추정된다.  

 

 

해당 악성코드는 한글문서 아이콘을 사용하지만 실행 파일(SFX 압축 파일)로 확인된다. 사용자가 한글문서로 착각하여 실행할 경우 악성코드에 감염된 것을 인지할 수 없도록 아래와 같은 한글문서(hwp.hwp)가 실행된다.

 

 

 

[그림 1] 한글문서 파일 실행 화면

 

 한글 파일이 실행되면 아래와 같은 악성코드가 함께 생성된다.

 

 

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\V3.exe (악성)

C:\Documents and Settings\All Users\SxS\xxx.xxx (악성)

C:\Documents and Settings\All Users\SxS\NvSmart.exe (정상)

C:\Documents and Settings\All Users\SxS\NvSmartMax.dll (악성)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\hwp.exe (악성)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\hwp.hwp (정상)

 

그리고, 아래와 같은 레지스트리 값을 생성하여 서비스로 동작하도록 구성되어 있다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SxS\ImagePath

""C:\Documents and Settings\All Users\SxS\NvSmart.exe" 200 0"

 

악성코드에 감염되면 키보드에 입력된 정보가 kl.log 파일에 저장된다. 또한, bug.log 파일에 에러로그가 저장되는 것으로 추정된다.

 

[그림 2] kl.log 키로깅 파일

 

다음은 kl.log 파일과 함께 생성된 bug.log 파일을 메모장으로 열어본 화면이다.

 

[그림 3] bug.log 파일 정보

 

 

kl.log 파일을 열어보면 사용자가 키보드로 입력한 키로깅 정보가 저장되며 추후 키로깅한 정보를 외부로 유출할 것임을 확인할 수 있다.

 

 

[그림 4] kl.log 파일에 저장된 키로깅 정보

 

V3 제품에서는 아래와 같이 진단이 가능하다. 

 

<V3 제품군의 진단명>

 

Win-Trojan/Agent.261705 (V3, 2013.01.28.00)

Win-Trojan/Agent.236544.AP (V3, 2013.02.03.00)

Dropper/Plugx.307690 (V3, 2013.02.03.00)

Dropper/Agent.232173 (V3, 2013.01.28.03)

Backdoor/Win32.Etso (AhnLab, 2012.07.05.00)

Win-Trojan/Agent (V3, 2013.01.28.03)

 

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC