‘XX이 협박용’ 와이즈 토토 가진 악성코드 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근‘XX이 협박용’이라는 와이즈 토토 가진 악성코드가 발견되어이용자들의 주의를 당부 드립니다.

이번에 발견된'XX이 협박용.scr' 와이즈 토토를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에'LocalDQhZjmCUTx.exe' PE 와이즈 토토과'LocalZaMiXJBzqg.mp4'동영상 와이즈 토토을 드롭 및 실행합니다. 공격자는 다음의동영상 화면을 통해 PE 와이즈 토토 실행을 숨기려한 것으로 보여집니다.

[그림 1]LocalZaMiXJBzqg.mp4'동영상 와이즈 토토 재생 화면

와이즈 토토실행 및 드롭 코드는 아래와 같습니다.

[그림 2] 와이즈 토토 드롭 및 실행 코드

드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 와이즈 토토은 닷넷으로 제작된 'njRAT'와 유사하며,jongttttt.codns.com (221.164.241.219)에 접속합니다. 또한 키로킹, 웹캠 액세스 등의 다양한 와이즈 토토 기능을 포함하고 있어, 감염 시 정보 유출 등의 피해가 발생할 수 있습니다.

[그림 3] 키로깅 코드 중 일부

따라서 악성코드에 감염이 되지 않기 위해서는 검증되지 않은 와이즈 토토을실행하기 전, 백신 프로그램을 이용하여 와이즈 토토 여부 검사를 수행해주시기 바랍니다.

현재 알약에서 관련 와이즈 토토를‘Trojan.Dropper.4729344B’, 'Trojan.Agent.921600', 'Trojan.Dropper.2023424C'로 진단하고 있습니다.