최근 메일에 포함된 첨부 파일(.egg)을 통해 가상 화폐 채굴 목적의 악성코드를 국내인에게 유포하는 행위가 지속적으로 발견되고 있다는 소식입니다.

 

 

특히 국내인과 동일한 수준의 한국어로 작성된 메일을 통해 첨부된 파일을 실행하도록 유도한다는 점에서 많은 피해가 발생할 가능성이 높다는 점에서, 2017년 12월 14일경에 유포된 관련 메일을 통해 악성코드의 행위를 확인해 보도록 하겠습니다.

 

[안녕하세요 홈페이지에 이미지 도용건으로 메일드립니다(법적책임가능)]

안녕하세요

귀사의 홈페이지에 게시되어 있는 이미지중에

제가 직접 제작한 이미지가 무단으로 사용되고 있는걸 확인했습니다

솔직히 법적대응 이런건 지금은 생각은 없어요

대신 내려주세요

이미지 무단사용으로 인한 도용건은 법적처벌을 받으실 수 있으세요

말씀드린대로 지금은 뭐 법적으로 이런건 생각없어요

대신에 이미지 내려주세요

제가 직접 제작한 이미지랑

귀사의 홈페이지에 올라가있는 이미지랑

같이해서 알집으로 압축해서 보내드려요

확인하시구요

내리신거 다시 알려주시면

별다른 그런거 없이 그냥 넘어가고 싶습니다

하지만 아무런 대응이 없으시면

저도 그러고 싶지 않지만 어쩔수 없이 대응할꺼에요 ㅜㅜ

확인하시구 이미지 내려주세요

감사합니다

확인된 메일은 홈 페이지에 게시된 이미지가 무단으로 사용되어 법적 처벌을 받을 수 있다는 내용이 포함되어 있으며, 첨부한 압축 파일을 확인하도록 안내하고 있습니다.

 

 

첨부된 이미지도용건.egg 압축 파일 내부에는 2개의 하위 폴더(이미지도용관련)가 포함되어 있으며, 최종적으로 1개의 실행 파일(.EXE)과 3개의 바로 가기 파일(.lnk)가 존재합니다.

 

이미지도용건.egg 압축 파일

 

zic.exe :: 숨김(H) 파일 속성
 - SHA-1 : 77016d793632dee3fc9aad97d04dc77465137787
 - AhnLab V3 : Trojan/Win32.Agent.R215517

 

관련법령.doc.lnk :: 실행 정보(C:\Windows\System32\cmd.exe /c zic.exe)

 

이미지_게시물171214.jpg.lnk :: 실행 정보(C:\Windows\System32\cmd.exe /c zic.exe)

 

이미지_원본171214.jpg.lnk :: 실행 정보(C:\Windows\System32\cmd.exe /c zic.exe)

 

 

압축 파일 내에 포함된 바로 가기(.lnk) 파일을 활용한 이유는 Windows 탐색기에서는 바로 가기 파일의 경우 .lnk 확장명을 표시하지 않는다는 점(※ 바로 가기(.lnk) 파일은 파일 아이콘에 화살표가 표시됩니다.)에서 사용자가 문서(.doc) 또는 이미지 파일(.jpg)로 착각하여 실행할 가능성이 더욱 높기 때문입니다.

 

그러므로 파일 압축 후 파일 유형을 확인하여 "바로 가기"로 표시된 경우에는 클릭하는 일이 없도록 각별히 주의하시기 바랍니다.

 

 

해당 바로 가기(.lnk) 파일 3개 모두는 "C:\Windows\System32\cmd.exe /c zic.exe" 파일을 실행하도록 등록되어 있습니다.

 

실행된 zic.exe 파일의 핵심 기능(가상 화폐 채굴 기능)은 "C:\Windows\System32\svchost.exe" 시스템 파일을 이용하여 동작하며, ["C:\Windows\System32\svchost.exe" -o monerohash.com:3333 -u 46Zec4T ~ <생략> ~ U3ejx8g -p x -v 0 -t 2] 명령어를 통해 다음과 같은 통신을 시도합니다.

 

 

Monero 가상 화폐 채굴을 목적으로 3333 포트(Port)를 통해 채굴(Miner) 작업을 진행하며, 기능을 수행하는 svchoste.exe 프로세스의 CPU는 50% 수준을 유지합니다.

 

 

만약 svchost.exe 프로세스의 CPU 사용률이 100% 수준으로 치솟을 경우에는 자동으로 종료한 후 재실행하는 구조를 가지고 있으며, 만약 사용자가 작업 관리자(Taskmgr.exe)를 실행하여 프로세스를 확인하려고 시도할 경우 자동으로 svchost.exe 프로세스를 종료 처리하여 작업 관리자가 종료될 때까지 대기한 후 재실행되도록 제작되어 있습니다.

 

또한 해당 악성코드는 최초 감염 시점에서 zic.exe 악성 파일을 "C:\Users\%UserName%\AppData\Local\AIMDKitteh\mymonero.exe" 파일로 자가 복제합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - UqRhmjYGcw = "C:\Users\%UserName%\AppData\Local\AIMDKitteh\mymonero.exe"

이를 통해 Windows 부팅 시 자동 실행되도록 구성하여 재부팅 이후에는 다음과 같은 프로세스 형태로 동작합니다.

 

일반적으로 정상적인 시스템 환경에서도 다수의 svchost.exe 프로세스가 메모리에 올라와서 동작한다는 점에서 가상 화폐 채굴을 수행할 경우 쉽게 탐지하기 어려울 수 있다는 점에서 실행된 프로세스의 CPU 사용률이 지속적으로 50~100% 수준으로 동작할 경우에는 CommandLine 정보를 추가적으로 확인할 필요가 있습니다.

 

가상 화폐 채굴용 악성코드가 장시간 PC에 설치되어 동작할 경우 CPU의 과도한 사용으로 인한 전기 사용이 증가할 수 있으며, 전체적으로 시스템 성능 저하를 유발할 수도 있으므로 타인의 돈벌이에 이용당하지 않도록 메일 첨부 파일을 함부로 실행하는 일이 없도록 하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..