군비 통제 관련 기사 토토 사이트 먹튀 검증 위장한 악성코드 주의
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 '군비 통제토토 사이트 먹튀 검증 기사 토토 사이트 먹튀 검증'로 위장한 악성코드가발견되어 이용자들의 주의를 당부드립니다.
이번 악성코드에서는 지난 '남북 회담 인터뷰 기사 토토 사이트 먹튀 검증'에 쓰인 것과 동일한 코드가 사용되었으며, 드롭퍼로서 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll'토토 사이트 먹튀 검증 파일을 드롭합니다.
[그림 1] 파일 드롭 토토 사이트 먹튀 검증
또한 지난 번과 마찬가지로감염된 사실을 숨기기 위해,군비 통제 관련 기사 내용이 담긴 토토 사이트 먹튀 검증를 드롭한 뒤, 실행합니다.
[그림 2] 군비 통제 내용이 담긴 기사 토토 사이트 먹튀 검증 내용
이용자에게 보여주는 토토 사이트 먹튀 검증에는 러시아어로 작성된 군비 통제와관련된 내용이 담겨져 있지만, 토토 사이트 먹튀 검증 속성은 다음 그림과 같이 제목에 'S. Korea fires warning shots at N. Korea after soldier defection(군인 탈출이후,남한에서 북한을 향해 경고탄을 발사하였다)'로 되어져 있습니다. 즉, 공격자가 토토 사이트 먹튀 검증를 수정하여 사용했음을 나타냅니다.
[그림 3] 남한 토토 사이트 먹튀 검증 내용이 담긴 제목 속성
또한 지난 '남북 회담 기사 토토 사이트 먹튀 검증'와 동일하게만든이는 중국식 이름인 '朱熠锷', 마지막 수정한 사람이 'John'으로 되어져 있습니다.
최종적으로 드롭된 errors.dll은 C&C 서버(checksessionmail.esy.es)에서 받아온 명령에 따라 시스템 정보 전송, 파일 전송, 화면 캡쳐 전송 등의다양한 토토 사이트 먹튀 검증행위를 수행하여 정보 유출 피해가 발생할 수 있습니다.
[그림 4] 명령에 따른 다양한 토토 사이트 먹튀 검증행위
한편 이번 토토 사이트 먹튀 검증에서 발견된 PDB 정보는 다음과 같으며, 지속적으로 변종이 만들어지고 있습니다.
※ 이번에 발견된 PDB 정보
F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(2018.04.04 14:50:28 UTC)
※ 과거에 발견된 PDB 경로 중 일부
F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(TimeStamp : 2018.03.29 07:21:34(UTC))
F:\0_work\planes\2017\0704\Doc7\Release\Doc.pdb(TimeStamp : 2017.07.04 14:22:35(UTC))
└ F:\0_work\planes\2017\0626\virus-load\_Result\virus-dll.pdb(드롭된 DLL)
F:\0_work\planes\2017\0508\Doc7\Release\Doc.pdb(TimeStamp : 2017.05.08 10:54:49(UTC))
└ F:\0_work\planes\2017\0502\virus-load\_Result\virus-dll.pdb(드롭된 DLL)
[표 1] PDB 정보
공격자들은 사회적 트렌드나이슈를 토토 사이트 먹튀 검증에 이용하고 있어, 주의가 필요합니다. 따라서 토토 사이트 먹튀 검증에 감염이 되지 않기 위해서는 검증되지 않은 파일을 실행하기 전, 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.
현재 알약에서 토토 사이트 먹튀 검증 샘플을'Trojan.Fuerboos'로 진단하고 있습니다.