Upatre

스팸메일로 유포되는 다운로더 악성코드 Upatre

Upatre 악성코드는 2013년부터 발견되고 있는 악성코드로 최근들어 그 변형이 지속적으로 발견되고 있다.  스팸 메일을 통해 퍼지며 사용자가 메일에 첨부된 실행 파일을 실행하면 특정 주소에 접속해 다른 악성코드를 다운로드 한다. 일반적으로 금융정보 탈취 악성코드이다. ‘Your Document’ 등의 다양한 제목으로 악성코드를 포함한 ZIP 파일이 첨부되어 있다. 변형에 따라 메일 제목, 본문, 첨부 파일은 조금씩 달라진다. [그림 1] Upatre 메일 예 [그림 2] Upatre 메일 예2 1. 동작과정 보통 20 – 30 킬로바이트 길이에 PDF 등의 문서 파일로 가장한 아이콘으로 되어 있으며 실행할 경우 특정 주소에서 인코딩된 데이터를 받아온다. 이후, 실제 악성행위가 이루어지는 실행 파일을 생성하고 해당 파일을 서비스로 등록한다. [그림 3] 관계도 2015년 2월 – 3월에 발견된 변형들은 SCR 이나 EXE 확장자를 가지며 특징적으로 PDF 아이콘을 가지고 있다.  [그림 4] 아이콘 사용자가…