본문 바로가기
AhnLab 보안in

사용자 PC의 문서파일을 탈취하는 악성코드 발견

by 보안세상 2020. 4. 14.

2012.02.24

 

안녕하세요. 안랩인입니다. 사용자 PC의 문서파일을 탈취하는 악성코드가 발견되었습니다. Fedex 관련 메일로 위장하여 사용자로 하여금 악성코드 파일을 실행하도록 하고, 감염되었을 경우 사용자 PC에 존재하는 모든 MS워드 파일(doc, docx)과 엑셀파일(xls, xlsx)을 전송하는 유형입니다.

해당 메일은 "Your package is available for pickup.NO#8248"이라는 제목으로 전파되었습니다. 업무상 영문 메일을 많이 주고 받는 사용자와 Fedex을 이용한 국제 화물 운송을 이용하는 빈도가 잦은 사용자는 감염 확률이 높으므로 주의해야 합니다. 일반적으로 국내 개인 사용자의 경우 영어로 된 Fedex 관련 메일은 스팸 메시지로 분류하는 사례가 많기 때문에 감염 위험이 높지 않은 편이지만, 주의를 기울일 필요가 있습니다.

 

이전글 참고

[악성스팸경보] FedEx 메일을 위장한 악성스팸!

Fedex 운송 관련 메일로 위장하여 악성코드를 유포하는 사례는 새로운 것이 아닙니다. 주로 DHL, UPS, Fedex 등 유명 국제 화물 운송업체 이름을 도용하여 허위백신을 유포하기 위해 사용되었습니다. 이번에 발견된 사례는 허위백신이나 가짜 시스템 복구 프로그램으로 위장하는 것이 아닌, 사용자 PC에 존재하는 문서 파일들을 탈취하는 형태를 가지고 있는 것이 특징입니다.

 

메일에 첨부된 악성코드 파일 이름은 FedEx_Invoice.exe로 확장명이 txt로 되어 있는 악성코드를다운로드 합니다. 다운로드 된 악성코드는 확장명이 txt로 되어 있어 사용자들이 실행파일이 아닌 것으로 생각하고 실행하기 쉽습니다. 그러나 실제로는 분석을 어렵게 하기 위해 UPX로 실행 압축 된 윈도우 PE파일입니다. 그림 1은 해당 파일을 열어본 결과이다. UPX 2번 이상 압축된 것을 확인할 수 있습니다.

 

그림 1 정상적인 PE헤더를 가지고 UPX로 실행압축된 악성코드 파일

 해당 악성코드의 주요 동작 순서는 그림 2와 같다. 사용자가 첨부파일을 실행하면 사용자 PC에 있는 모든 MS워드 파일이나 엑셀 파일들을 압축하여 해외에 있는 웹하드 업체에 업로드 하고, 악성코드 제작자는 해당 웹하드에서 다운로드하고 웹하드에 등록된 정보를 삭제합니다. 해당 웹하드 업체는 Sen****ce라는 업체로 웹하드 서비스를 제공하는 정상적인 업체입니다.

그림 2 해당 악성코드 동작 순서

해당 악성코드가 실행되면 c:\Documents and Settings\Administrator\Local Settings\Temp 폴더에 임의의 파일명으로 사용자 PC에 존재하는 문서 파일들을 검색하여 압축한 파일을 생성합니다. <Ahn>

* 더 자세한 내용은 ASEC홈페이지를 참고하세요.