반응형
Bredolab 변종 악성코드를 첨부 파일로 포함한 해외에서 발송된 악성 이메일이 국내에 유포되고 있으므로 주의하시기 바랍니다.
해당 이메일은 자신의 이력서가 포함된 Resume_document_678.zip 파일을 열어보도록 유도하고 있으며, Zip 압축 파일 내부에는 Resume_document_678.exe 파일(MD5 : f24485001b8415e1ca51a34521e123be)은 62,976 Bytes 크기의 MS Word 문서 아이콘 모양으로 구성되어 있습니다.
해당 파일은 nProtect 보안 제품에서 Gen:Variant.Bredo.4 (VirusTotal : 15/41)진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.
첨부 파일을 실행하였을 경우, [C:\WINDOWS\system32\pgsb.lto] 파일을 생성하며, 해당 파일은 다음의 레지스트리 항목을 수정하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.
감염된 시스템은 러시아(Russia) 특정 서버로 연결을 시도하여 추가적인 악성코드를 다운로드하는 동작을 하고 있습니다.
수상한 이메일에 첨부된 파일 또는 링크의 경우에는 절대로 실행하거나 링크를 함부로 클릭하여 시스템 감염으로 연결되지 않도록 매우 주의하시기 바랍니다.
● 이메일 제목 : New resume
Please review my CV, Thank you!
Please review my CV, Thank you!
해당 파일은 nProtect 보안 제품에서 Gen:Variant.Bredo.4 (VirusTotal : 15/41)진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.
첨부 파일을 실행하였을 경우, [C:\WINDOWS\system32\pgsb.lto] 파일을 생성하며, 해당 파일은 다음의 레지스트리 항목을 수정하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.
[수정 전 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe
[수정 후 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = "Explorer.exe"/"Explorer.exe rundll32.exe pgsb.lto csxyfxr"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe
[수정 후 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = "Explorer.exe"/"Explorer.exe rundll32.exe pgsb.lto csxyfxr"
감염된 시스템은 러시아(Russia) 특정 서버로 연결을 시도하여 추가적인 악성코드를 다운로드하는 동작을 하고 있습니다.
수상한 이메일에 첨부된 파일 또는 링크의 경우에는 절대로 실행하거나 링크를 함부로 클릭하여 시스템 감염으로 연결되지 않도록 매우 주의하시기 바랍니다.
728x90
반응형