chm

국방표준종합정보시스템 VPN 사용자를 겨냥한 악성코드 CHM

   이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다.       /index.htm – 악성 파일을 로드 /제목 없음.jpg – 사용자를 속이기 위한 그림 파일 /msupdate.exe – 악성 파일 [표 1] CHM에 포함되어 있는 파일들   악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다. [그림 1] CHM 실행 화면 (제목 없음. JPG) 처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다.   [그림 2] object 태그를 이용하여 악성 파일(msupdate.exe) 실행   msupdate.exe는 리소스 영역에 [표 2]와 같이 DLL을 포함하고 있으며, 실행 시 해당 DLL을 'Application Management'라는 이름의 서비스로 등록시킨다. (서비스 메인 이름 'iamcoming')   [표 2]…