악성코드를 문서파일로 위장하여 사용자PC를 교묘히 감염시키는 수법이 최근 부쩍 늘고 있다. 이번에 발견된 악성코드는 아래와 같이 '워싱톤 출장 결과 보고서.exe' 라는 파일명을 사용하고 있으며, MS워드 문서파일형식의 아이콘을 그대로 사용하고 있으므로 사용자가 문서파일로 혼동하여 실행시키도록 유도하고 있다.

 

 

악성코드는 RAR 실행압축파일로 제작되어 있으며, 해당파일을 실행하면 1.doc 문서파일과 g1.exe,mspool.dll 실행파일을 Drop 한다. 이후 1.doc 문서를 열고 g1.exe 파일을 실행시키는데, 이 때 문서파일은 손상되어 있어 MS워드에서 제대로 열리지 않는다.

 

[그림1] doc 문서 열기실패 메시지

 

이후 악성코드는 'mspool.dll' 파일을 'Windows mspool service.' 라는 이름의 윈도우 서비스를 등록하고 주기적으로 동작시킨다.

[그림2] 등록된 악성 서비스


등록된 악성서비스는 아래의 중국에 위치한 서버에 주기적으로 접속을 시도하나 분석 당시 해당서버는 접근이 불가능하였다.

 

 

[그림3] 네트워크 연결 정보

 

 

 

<V3 제품군의 진단명>

Win-Trojan/Agent.218061 등


신고
Posted by DH, L@@