본문 바로가기
AhnLab 보안in

이력서에 악성코드가?

by 보안세상 2020. 4. 15.

2012.06.01

 

안녕하세요. 안랩인입니다. 최근 '*** 이력서'로 위장한 악성코드가 전자 메일의 첨부 파일 형태로 유포되어 사용자들의 주의가 요구되고 있습니다. 이 악성코드는 MS 워드 아이콘을 사용하고 있지만 실제로는 윈도우 실행 파일입니다.

 

 

[그림 1] '*** 이력서'로 위장한 악성코드

 

이 파일을 실행하면 정상적인 문서 파일로 위장하기 위해 555.doc 문서 파일을 로딩합니다. 이와 동시에 백그라운드로 악성 파일 MTKti.exe가 설치됩니다. 

 

[그림 2] 555.doc 문서 파일

 

[그림 3] MTKti.exe 파일 생성

 

MTKti.exe 파일은 정상 파일로 위장하기 위해 V3 Lite 프로그램 등록 정보를 사용하였습니다.

 

[그림 4] MTKti.exe 등록 정보

 

또한, 시작 레지스트리에 등록되어 윈도우 시작 시 자동으로 실행돼 hh.to.XX33.com(1.XXX.XX.212) 서버에 접근을 시도합니다.

 

[그림 5] 시작 레지스트리 등록 정보

 

이 악성코드는 감염 시스템에서 키보드 입력 정보 탈취, 파일 업로드, 원격 제어 등의 기능을 수행하는 Ghost RAT 계열로 추정됩니다.  

 

[그림 6] 키로깅 정보 저장

 

이러한 악성코드에 감염되지 않기 위해서는 다음의 사항을 명심해야 합니다.

 

1. 안티 스팸 솔루션을 도입하여 스팸 및 악의적인 전자 메일의 유입을 최소화한다.
2. 출처가 불분명하거나 의심 가는 제목의 메일은 가급적 열지 말고 삭제한다.
3. 사용 중인 안티바이러스 제품은 최신 버전의 엔진으로 업데이트하고 실시간 감시 기능을 사용한다.
4.  메일에 첨부 파일이 존재할 경우 저장한 다음 최신 엔진으로 업데이트된 안티바이러스 제품을 통해 검사를 한 후 실행한다.
5. 전자 메일에 존재하는 확인되지 않은 URL은 클릭하지 않는다.
6. 악성코드의 감염을 예방하기 위해 윈도우, 인터넷 익스플로러, 오피스 제품 등의 보안 업데이트를 모두 설치한다.

 

 

해당 악성코드는 V3 제품에서 아래와 같이 진단합니다.<Ahn>

Win-Trojan/Agent.1462272.R(2011.12.03.00)
Win-Trojan/Agent.641536.F(2011.12.03.00)