유니코드

유니코드 문자열을 이용하여 문서파일로 위장한 악성코드

1. 서론 최근 유니코드를 이용하여 파일명을 변조하여 문서파일로 위장한 악성코드가 발견되어 정보를 공유하고자 해당 문서를 작성합니다. 2. 전파 경로 해당 악성코드는 메일에 첨부되어 전파되는 형태의 악성코드로 불특정 다수에게 전파되는 악성코드가 아닌 특정 시스템을 타켓으로 한 악성코드로 추정됩니다. 추정하기로 국가기관이나 대기업 등의 기밀 자료를 누출하기 위해 제작된 악성코드로 보이며 특정 사용자에게 메일에 첨부파일을 포함하여 전송 후 사용자가 첨부파일을 실행하게 되면 문서나 기타 정보를 누출할 것으로 추정되는 악성코드 입니다. 3. 악성코드 특징 해당 악성코드에서 가장 두드러 지는 특징은 조작된 파일명을 이용한다는 점입니다. 아래 그림은 윈도우에서 “알려진 파일형식의 파일 확장명 숨기기” 옵션을 해제한 상태로 본 화면 입니다. [그림] 탐색기의 확장자 관련 옵션 설정 값 [그림] 위 탐색기 옵션 상태로 본 악성코드 파일명  파일을 보면 확장자가 DOC인 것을 확인할 수 있습니다. 하지만 실제 해당 파일은 DOC가 아닌…