정상 엑셀파일 감염 기능의 Virus/XLS.Xanpei 바이러스 주의

최근 ASEC 분석팀은 엑셀문서 열람 시 바이러스 형태로 전파되는 악성코드들이 지속적으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 정상 엑셀파일을 감염시키는 바이러스 기능뿐만 아니라, Downloader, DNS Spoofing 등의 추가적인 악성 행위를 수행하고 있어 사용자의 큰 주의가 필요하다.

해당 악성코드들은 공통적으로 엑셀파일 내부에 포함되어 있는 VBA(Visual Basic for Applications) 코드를 통해 바이러스 전파를 수행한다. 감염된 엑셀문서 실행 시 바이러스 전파를 위해, 바이러스 VBA 코드가 포함된 엑셀 문서를 엑셀 시작 경로에 드랍한다. 이후 임의의 엑셀 문서 실행 시, 엑셀 시작 경로에 드랍된 악성 엑셀파일이 자동 실행되는 형태로, 바이러스 감염 및 추가적인 악성 행위가 수행된다. 바이러스 감염 이후 악성코드의 유형에 따라 Downloader나 DNS Spoofing의 악성 행위가 발현된다.

[1] Downloader 유형의 악성코드
– MD5: f8886b0d734c5ddcccd2a0d57d383637
– 진단명: Virus/X97M.Downloader

해당 엑셀문서는 정상 엑셀문서가 바이러스에 감염된 형태로, VBA 코드 상에서 바이러스 및 추가적인 악성행위를 위한 코드가 정의되어 있는 것을 확인할 수 있다.

[그림 1] 문서 내부 악성 VBA 코드

문서 내부의 악성코드는 다음 그림과 같이 통합문서 열람 이벤트 발생 시 자동 실행되는 Procedure인 Workbook_Open() 내부에, 바이러스 전파를 위한 “d2p” Procedure와 Downloader 로직이 포함된 “boosting” Procedure를 호출하는 방식으로 악성 행위를 수행한다.

[그림 2] 악성 VBA 코드의 Workbook_Open

바이러스 전파 로직이 위치한 d2p Procedure는 아래 그림과 같이, 엑셀 시작 경로위치에 “boosting.xls” 파일명으로 바이러스 전파를 위한 엑셀파일을 생성한다. 이후 임의의 문서 실행 시, “%AppData%\Microsoft\Excel\XLSTART\boosting.xls” 경로에 드랍 된 악성코드가 자동 실행되어, 현재 열람중인 엑셀 문서를 감염하는 구조로 악성 행위가 발현된다.

[그림 3] 바이러스 전파를 위한 코드

“boosting.xls” 파일의 바이러스 전파는 아래와 같이 일정 시간이 경과한 후 실행되며, 실행 시 해당 파일 내에 정의된 원본 코드를 삭제한다. 이후 감염을 위한 코드와 추가적인 악성행위를 위한 코드를 해당 엑셀파일의 Workbook_Open Procedure에 정의한다.

[그림 4] 바이러스 전파 코드

Downloader 유형의 악성코드의 경우, 감염 이후 다음과 같이 C2로부터 Miner 관련 실행파일을 다운로드 받아 실행한다.

[그림 5] Downloader 기능

다운로드 C2 주소는 다음과 같다.
– hxxp://45.78.21.150/boost/boosting[.]exe
– hxxp://45.78.21.150/boost/config[.]txt

추가적으로, 해당 유형의 엑셀 바이러스들은 “%AppData%\Microsoft\Excel\XLSTART\boosting.xls”파일 존재 여부를 검사한 후, 파일이 존재하지 않을 경우 바이러스 전파 및 추가 악성행위를 수행한다. 따라서 해당 경로에 0바이트 크기로 더미 파일이 존재한다면, 해당 악성행위의 발현을 사전에 차단할 수 있다.

[2] DNS Spoofing 유형의 악성코드
– MD5: 97841a3bf7ffec57a2586552b05c0ec5
– 진단명: Virus/MSExcel.Xanpei

해당 엑셀문서 또한 정상 엑셀문서가 바이러스에 감염된 형태로, VBA 코드 상에서 바이러스 및 추가적인 악성행위를 위한 코드가 정의되어 있다. 다만 앞선 Downloader 유형의 엑셀 바이러스와 달리 해당 바이러스 유형의 경우, 바이러스 전파를 위해 엑셀 시작 경로에 드랍되는 악성 엑셀파일명(accerlate.xls)에서 차이가 있다, 또한 바이러스 전파 이후 파일 다운로드가 아닌 host 파일 변조를 통한 DNS Spoofing을 다음과 같이 수행한다는 점에서 차이가 있다.

[그림 6] DNS Spoofing 기능

DNS Spoofing C2 주소는 다음과 같다.
– hxxp://45.78.21.150

안랩은 해당 악성 문서 파일과 다운로드되는 실행 파일을 다음과 같이 진단하고 있다. 또한 악성 엑셀 파일이 접속하는 악성 C2 주소를 ASD 네트워크를 통해 차단하고 있다.

[파일진단]
– Virus/XLS.Xanpei (2022.03.14.02)
– Virus/X97M.Downloader (2018.12.11.07)
– Virus/MSExcel.Xanpei (2022.03.14.03)
– Trojan/Win64.BitMiner (2017.11.13.03)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

4.2 5 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments