2020-04-10 03:10 (금)
워드 문서로 위장한 중국발 악성코드 극성
상태바
워드 문서로 위장한 중국발 악성코드 극성
  • 길민권
  • 승인 2015.03.29 15:47
이 기사를 공유합니다

감염시, PC 정보전송, 악성코드 다운로드, 백도어 등 추가적 악성행위 작동
최근 메일을 통해 워드 문서로 위장한 중국발 악성코드가 지속적으로 유포되고 있어 이용자들의 각별한 주의가 요구된다.  
 
해당 악성코드는 doc 파일로 위장한 scr 확장자를 가진 파일로서, scr은 보통 화면보호기 확장자로 알려져 있지만 악성코드에서 스크립트를 실행하기 위한 확장자로도 많이 사용하고 있다.

 
해당 악성파일은 위처럼 워드 아이콘을 가장하고 있다.
 
최초 악성코드가 실행되면 C:Documents and SettingsAll Usersupdata 폴더에 아래와 같은 파일들이 생성된다.

 
해당 악성파일은 firefox.exe라는 파일명으로 파이어폭스(firefox)에서 사용되는 nspr4.dll, nss3.dll 을 로드해 악성 URL을 가지고 있는 server.db, sleep.db 파일을 참조해 접속을 시도한다.
 
해당 server.db, sleep.db 파일은 db 파일 내부에 PE구조로 악성코드에서 사용되는 함수와 접속하는 주소값이 들어가 있다.
 
접속할 시 사용자 PC의 정보전송, 추가적인 악성코드 다운로드, 백도어 등의 추가적인 악성행위가 이루어질 수 있다.
 
하우리 관계자는 “사용자들이 PC를 안전하게 사용하기 위해서는 백신프로그램 설치 및 최신업데이트와 사용하고 있는 OS, 응용프로그램의 보안 패치를 생활화 해야 한다”고 권고했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com