국방 관련 한글파일로 위장한 파일 발견

최근 이메일의 첨부파일로 특정 대상을 위해 제작하여 유포되었을 것으로 추정되는 한글문서 파일을 위장한 악성코드가 발견되었다. 아래 그림의 왼쪽의 “정상 한글 파일.hwp” 파일이 정상파일이며 오른쪽의 한글 파일과 유사한 아이콘을 가진 “XXX 연구용역 관련.exe”파일이 악성파일이다. 

 

 

아래 “국방정책 최종 자료입니다.exe” 파일은 최근에 발견된 또 다른 유사한 악성코드이다.

 

 

유사한 파일들을 추적해 본 결과 2012년 6월부터 발견되기 시작하였으며 2012년 11월부터 조금씩 발견 건수가 늘어나고 있지만 그 수는 3개 이하이다. 즉, 공격을 시도할 특정 타겟에게만 유포가 되는 것으로 추정된다.  

 

 

해당 악성코드는 한글문서 아이콘을 사용하지만 실행 파일(SFX 압축 파일)로 확인된다. 사용자가 한글문서로 착각하여 실행할 경우 악성코드에 감염된 것을 인지할 수 없도록 아래와 같은 한글문서(hwp.hwp)가 실행된다.

 

 

 

[그림 1] 한글문서 파일 실행 화면

 

 한글 파일이 실행되면 아래와 같은 악성코드가 함께 생성된다.

 

 

C:Documents and Settings[사용자 계정명]Local SettingsTempV3.exe (악성)

C:Documents and SettingsAll UsersSxSxxx.xxx (악성)

C:Documents and SettingsAll UsersSxSNvSmart.exe (정상)

C:Documents and SettingsAll UsersSxSNvSmartMax.dll (악성)

C:Documents and Settings[사용자 계정명]Local SettingsTemphwp.exe (악성)

C:Documents and Settings[사용자 계정명]Local SettingsTemphwp.hwp (정상)

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments