기존부터 토렌트(Torrent)를 통해 악성코드를 유포하던 일명 WooriAdris 조직이 2016년 10월 17일경부터 한컴오피스 2010 교육용 포터블 버전을 이용하여 새로운 악성코드를 유포하는 것을 확인하여 살펴보도록 하겠습니다.

 

 

토렌트(Torrent)를 통해 다운로드된 한컴오피스 2010 교육용 포터블 버전은 ZIP 압축 파일 내부에 다음과 같은 2개의 실행 파일이 포함되어 있습니다.

 

 

  • 한글 2010 (교육용).exe (SHA-1 : 83ffbc22af453993ed6086ca45d1697807b39786) :: 250MB 정상 파일
  • 한컴오피스 한글 2010.exe (SHA-1 : b759b6d8c1d50d86802594909aa38a6f11179d6b) :: 악성 파일

 

압축 파일 내부에는 정상적인 한글 2010 교육용 버전이 포함되어 있지만, 한글 아이콘으로 위장한 한컴오피스 한글 2010.exe 악성 파일을 사용자가 실행할 경우 다음과 같은 감염이 발생할 수 있습니다.

 

최초 실행될 경우 특정 WordPress 사이트(promiumus.wordpress.com) 게시글에 접속을 통해 다음과 같은 PNG 파일로 위장한 PE 파일을 자동 다운로드합니다.

 

  • h**ps://promiumus.files.wordpress.com/2016/**/modka.png (SHA-1 : f91c3fb12e8458345f38b273d02bb64dab2ca3e6 - AhnLab V3 : HEUR/Fakon.mwf)

 

다운로드된 악성 파일은 Windows 폴더 내에 폴더 아이콘 모양을 가진 (6자리 영문 Random).exe 파일 형태로 생성됩니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sysboot = c:\windows\faqktp.exe

생성된 악성 파일은 Windows 부팅 시마다 sysboot 시작 프로그램 등록값을 통해 자동 실행되어 다음과 같은 추가적인 악성코드 다운로드를 진행합니다.

 

  • h**ps://promiumus.files.wordpress.com/2016/**/keorm.png (SHA-1 : e61124323ea9d372453a6ea7f037db4fcdf9428a - AhnLab V3 : HEUR/Fakon.mwf)

추가로 다운로드된 악성 파일은 임시 폴더(%Temp%)에 폴더 아이콘 모양을 한 (6자리 영문 Random).exe 파일 형태로 생성 및 실행됩니다.

 

 

자동 실행된 악성 파일은 정의당 당원 게시판의 특정 게시글에 대해 접속한 후 자동 종료 처리되는 방식으로 다수의 감염자가 존재할 경우 정의당 사이트 접속에 문제를 유발할 수도 있을 것으로 보입니다.

 

해당 악성코드는 부팅 시마다 sysboot 시작 프로그램 등록값을 통해 실행된 파일이 매번 특정 WordPress 사이트에서 PNG 파일로 위장한 PE 파일을 다운로드하여 1회 정의당 당원 게시판에 접속하는 행위를 반복적으로 이루어지고 있습니다.

 

 

또한 관련 파일은 모두 유효하지 않은 jsmil 디지털 서명이 포함되어 있으며, 기존과 마찬가지로 AutoHotkey 스크립트와 Themida 패킹으로 제작된 것으로 보입니다.

 

이런 행위 자체가 정치적 목적으로 이루어지고 있다고는 확신할 수 없는 부분이지만 현재 확인된 추가 다운로드된 악성 파일은 정의당 게시판만을 노리고 있다는 점에서 의심스러운 연결 행위로 보입니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..