2012.08.31
안녕하세요. 안랩인입니다.최근 아래아한글 취약점을 공격하여 OS의 파일 실행 권한을 획득한 후 키로거 등의 정보 유출형 악성코드를 추가 감염시키는 형태의 악성코드가 많이 발견되고 있습니다. 이 악성코드는 특정 언론사의 기사 또는 해외 뉴스 스크랩으로 위장했습니다.
[그림 1] 언론 기사 내용으로 위장한 악성코드
언론사 기사로 위장한 악성코드의 경우 아래와 같은 파일을 생성합니다. 이 파일은 키로거 등 다양한 정보 유출 기능을 가지고 있는 백도어로, 서비스로 등록되어 부팅 시마다 실행됩니다. 악성코드 제작자가 원하는 시점에 저장된 키로깅 데이터의 수집이 가능합니다.
C:\Documents and Settings\All Users\Application Data\SxS.DLL
[그림 2] 기사 스크랩으로 위장한 악성코드
뉴스 기사 스크랩으로 위장한 악성코드 역시 감염된 PC를 지속적으로 모니터링하고 정보를 탈취하는 역할을 수행합니다.
두 악성코드는 공통적으로 소프트웨어 취약점을 공격해 악성코드를 실행시킵니다. 이후 감염원인 악성 hwp 파일을 삭제하고 정상 hwp 파일을 생성해 사용자가 감염된 원인을 알 수 없게 합니다. <Ahn>
*더 자세한 사항은 안랩홈페이지에서 참고하시기 바랍니다.
'AhnLab 보안in' 카테고리의 다른 글
| 인터넷 뱅킹의 탈을 쓴 늑대! (0) | 2020.04.15 |
|---|---|
| URL속에 존재하는 검은 손 (0) | 2020.04.15 |
| 스마트폰에도 애드웨어가? (0) | 2020.04.15 |
| 안랩, 통신사 요금명세서 사칭 악성코드 주의보 (0) | 2020.04.15 |
| 변형된 형태의 XML 코어 서비스 취약점(CVE-2012-1889) 악용 (0) | 2020.04.15 |
