중국에서 발생한 신종 조류독감(H7N9)이 확산되어 사회적으로 이슈가 되고 있다. 이렇게, 사회적으로 주목 받는 이슈는 악성코드 유포에 활용되고 있으며, 최근 "조류독감 안내문"을 위장한 악성코드가 발견돼 사용자들의 각별한 주의가 요구된다.

 

이번에 발견된 악성코드(조류독감 안내문.exe)는 이메일의 첨부파일로 유포되었을 것으로 추정되며, 정상적인 MS워드 문서의 아이콘을 사용했다.

 

 

해당 악성코드를 실행할 경우 사용자가 악성코드에 감염된 것을 인지할 수 없도록 정상(조류독감 안내문.docx) 워드문서가 실행된다.

[그림1] 조류독감 안내문.exe 실행 화면

 

악성코드는 다음과 같은 파일을 생성하며, Temp 폴더에 생성된 vm1ectmp.exe 파일은 악성코드의 복사본 파일이다.

[그림2] 생성 파일 정보

 

또한, NEWCLIENT13.EXE 파일을 통해 ODBC 폴더에 AppMgmt.dll 파일이 생성된다.

[그림3] AppMgmt.dll 파일

 

AppMgmt.dll 파일은 윈도우 서비스(Application Management)에 등록되어 동작하도록 구성되어 있다.

[그림4] 서비스 등록 정보

 

해당 악성코드는 특정 서버(59.X.X.203)로 접근을 시도하지만 분석 시점에 연결되지 않았다.

[그림5] 네트워크 연결 정보

 

<V3 제품군의 진단명>

Win-Trojan/Agent


신고
Posted by DH, L@@