본문 바로가기

벌새::Analysis

네이버 지식인 답변을 통한 메일 문의 접근 주의 (2015.12.7)

반응형

최근 네이버(Naver) 지식인에 올라온 질문에 특정 이메일 주소로 문의해달라고 접근하는 사용자가 있어 주의가 요구됩니다.

작성된 사례를 살펴보면 질문에 대한 답변은 전혀 달지 않고 메일로 문의를 해달라는 글만을 남기는 방식으로 활동을 하고 있습니다.

  • Adube+Flash+Air+Update.exe (SHA-1 : 4d59afc385903e90b1e251779630e6fdec01178e) - AhnLab V3 : Win-Trojan/Cson.179181

메일 문의를 요구하는 사용자의 블로그를 확인해보면 2015년 7월 16일경 작성된 게시글에 방화벽과 백신을 끈 상태로 첨부 파일을 다운로드하여 실행하도록 유도하고 있으며, 첨부 파일은 중국(China)에서 제작된 툴로 생성된 악성 파일이 존재합니다.

 

첨부된 파일은 기존에 블로그를 통해 확인된 백도어(Backdoor) 계열로 감염된 사용자 PC에서 특정 정보를 탈취할 목적으로 제작되었습니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\System32\inwixlnmf.exe

 - SHA-1 : be741bda394a6bff18ae7e99f9d7d565861cd5ee
 - 알약(ALYac) : Backdoor.Redosdru.D


C:\Windows\System32\inwixlnmf.exe_lang.ini
C:\Windows\System32\syslog.dat

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{23BFBCE3-4824-4bbb-BB97-8D048C66896F}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PCRatStact

만약 악성 파일을 실행할 경우 시스템 폴더 내에 마이크로소프트(Microsoft) 관련 파일처럼 위장한 악성 파일을 랜덤(Random)한 파일명으로 생성되어 실행됩니다.

실행된 파일(inwixlnmf.exe)의 리소스 영역에 저장된 PE 파일(SHA-1 : 3294bd8015334a8585a5df9241b409caabb79fb5 - BitDefender : Generic.PcClient2.6D1B7D53)은 실행(부팅)시마다 사용자 임시 폴더(C:\Users\(사용자 계정)\AppData\Local\Temp)에 "Device Protect Application" 파일 설명값을 가진 (6자리 숫자)_lang.dll 파일(SHA-1 : e0fac1384dbfa5c43d4bd39a460b6d476bc2b91e - AhnLab V3 : Trojan/Win32.OnlineGameHack.R1724)로 생성됩니다.

자동 실행된 악성 파일(C:\Windows\System32\inwixlnmf.exe ZhuDong)은 메모리에 상주하여 사용자 활동을 감시하여 시스템 정보 수집, 화면 캡처, 키로깅, 온라인 게임 표적, Kaspersky 보안 제품 체크 등의 악의적 기능을 수행할 수 있습니다.

 

위와 같이 평소 악성코드를 활용하여 타인의 정보를 악용하는 회원이 네이버 지식인과 같은 공간에서 특정 문제로 도움을 요청하는 사람들에게 접근하여 메일을 통해 악성 파일을 발송할 수 있으므로 다짜고짜 1대1 접근을 시도하는 사람들은 신뢰하지 않는 것이 안전합니다.

728x90
반응형