최근 북한과의 군사적 긴장 관계를 악용하는 악성코드가 발견되었다. 현재 남한과 북한은 개성공단 폐쇄 및 북한의 미사일 발사 위협 등으로 인해 군사적 위기감이 상당히 높은 상황이다. 이러한 분위기 때문에 실제로 파일을 실행하여 감염되는 사용자가 많을 것으로 보이므로 사용자의 각별한 주의가 요구되는 상황이다.

 

[그림 1] MS워드 파일로 위장한 악성코드

 

특히 이번에 발견된 악성코드는 위와 같이 '차북핵 한국대응조치 결과가 나왔어요.exe' 라는 파일명을 사용하고 있다. 그러나 MS워드 문서 파일 형식의 아이콘을 그대로 사용하고 있지만, 실제 파일 형식은 exe 실행 파일이다.

 

악성코드는 RAR 실행압축 파일로 제작되어 있으며, 해당 파일을 실행하면 12.hwp 한글 문서 파일과 다수의 PE 파일을 생성하는데 그 목록은 다음과 같다.

 

<악성코드 실행 시 생성되는 PE파일 목록>

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gm.exe    

C:\WINDOWS\system32\SVKP.sys    

C:\Documents and Settings\All Users\SysEV\rc.hlp    

C:\Documents and Settings\All Users\SysEV\rc.exe    

C:\Documents and Settings\All Users\SysEV\rcdll.dll    


해당 악성코드를 실행하면 생성되는 12.hwp 파일은 자동으로 한글 프로그램을 통해 열리기 때문에 사용자는 정상 파일이 실행된 것으로 생각하기 쉽다. 그러나 이것은 사용자의 눈을 속이기 위한 동작으로, 백그라운드에서는 악성코드의 감염 과정이 진행되고 있다.

 

[그림 2] 12.hwp 문서가 자동으로 열린 화면

 

이후 악성코드는 생성된 SVKP.sys 파일을 SVKP라는 서비스 명으로 등록하고 주기적으로 동작시킨다.

 

[그림 3] SVKP라는 이름으로 서비스에 등록된 SVKP.sys 파일

 

 

등록된 악성서비스는 아래와 같이 특정 IP로 연결을 시도하지만, 현재는 해당 서버가 동작하지 않아 이후 과정을 확인할 수 없었다.

 

[그림 4] 특정 IP 주소로 접속을 시도하는 서비스 프로세스

 

접속을 시도하는 IP 주소가 이전에 "출장보고서 문서파일로 위장 악성코드" 편에서 다뤘던 IP 주소와 동일한 것으로 보아 동일 조직에서 제작된 악성코드로 보인다. 해당 IP 주소에 해당하는 서버는 중국에 위치하고 있다.

[그림5] 네트워크 연결 정보

 

<V3 제품군의 진단명>

  Dropper/Win32.Agent


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

 악성코드를 문서파일로 위장하여 사용자PC를 교묘히 감염시키는 수법이 최근 부쩍 늘고 있다. 이번에 발견된 악성코드는 아래와 같이 '워싱톤 출장 결과 보고서.exe' 라는 파일명을 사용하고 있으며, MS워드 문서파일형식의 아이콘을 그대로 사용하고 있으므로 사용자가 문서파일로 혼동하여 실행시키도록 유도하고 있다.

 

 

악성코드는 RAR 실행압축파일로 제작되어 있으며, 해당파일을 실행하면 1.doc 문서파일과 g1.exe,mspool.dll 실행파일을 Drop 한다. 이후 1.doc 문서를 열고 g1.exe 파일을 실행시키는데, 이 때 문서파일은 손상되어 있어 MS워드에서 제대로 열리지 않는다.

 

[그림1] doc 문서 열기실패 메시지

 

이후 악성코드는 'mspool.dll' 파일을 'Windows mspool service.' 라는 이름의 윈도우 서비스를 등록하고 주기적으로 동작시킨다.

[그림2] 등록된 악성 서비스


등록된 악성서비스는 아래의 중국에 위치한 서버에 주기적으로 접속을 시도하나 분석 당시 해당서버는 접근이 불가능하였다.

 

 

[그림3] 네트워크 연결 정보

 

 

 

<V3 제품군의 진단명>

Win-Trojan/Agent.218061 등


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
메일을 이용하여 메일을 유포하는 방식 중 문서 파일을 이용하여 악성코드를 감염시키는 메일이 확인되어 안내해 드립니다. 이러한 기법은 예전에 발견된 내용이나 블로그에 따로 소개해 드린적이 없어 안내해 드립니다.

이러한 메일은 대부분 첨부파일로 DOC 파일 혹은 RTF 파일이 첨부되게 됩니다. 해당 첨부파일을 열면 아래와 같이 나타나게 됩니다.


[그림 1. Microsoft Office 가 설치되어 있지 않은 경우]


[그림 2. Microsoft Office 가 설치되어 있는 경우]


만약 시스템에 마이크로스프트 오피스가 설치되어 있으면 아래와 같이 Word 프로그램이 나타날 것이며 설치되어 있지 않을 경우 위와같이 워드패드에서 나타날 것입니다.

문서를 열게 되면 PDF 파일의 아이콘이 나타나며 더블클릭을 하라는 메세지가 보입니다. 해당 아이콘을 더블클릭 하면 아래와 같은 창이 나타나게 됩니다.


이때 [실행] 버튼을 누르게 되면 DOC 파일 내부에 있는 EXE 파일이 실행되며 악성코드에 감염되므로 주의를 하시기 바랍니다.

앞으로는 DOC 파일도 열람 시 발신자가 불분명한 사용자가 보낸  파일이라면 열람하지 않는것을 권장 드립니다.
항상 아래와 같은 사항을 지켜 메일을 통해 전파되는 악성코드를 미연에 예방하시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. V3와 같은 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원