하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 부고 안내문으로 위장하여 유포중인 이모텟 악성코드
등록일 :
2020.09.01

□ 개요​ 

 

최근 국내에 매크로 문서 악성코드를 첨부하는 악성메일이 지속적으로 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다. 

 

□ 내용​ 

 

해당 메일에는 부고 안내문 관련된 내용을 포함하고 있으며, 'VP9455667606UT.doc' 파일이 첨부되어 있다. 

[그림 1] 부친 부고 안내문으로 위장한 악성 메일​

 

 

문서를 열람하면 '콘텐츠 사용'이라는 보안 경고가 뜨고 콘텐츠 사용 클릭 시 악성 매크로가 동작한다.

[그림 2] 악성 매크로가 삽입된 doc 문서파일

 

 

매크로가 동작되면 파워쉘스크립트가 실행되며, C&C서버에서 이모텟 악성코드를 다운로드한다.

[그림 3] 삽입된 매크로 악성코드

 

 

 [그림 4] Base64 디코딩

 

 

다운로드 된 이모텟 악성코드는 다음과 같은 경로에서 실행된다.

 

%시스템폴더%\[시스템폴더 내에 존재하는 파일명 선택]\[시스템폴더 내에 존재하는 랜덤 파일명].exe 

 

 

실행된 이모텟 악성코드는 자동실행 레지스트리 등록, 로컬 시스템 정보 수집, 추가 악성코드 다운로드 등의 악성행위를 수행한다. 

 

 

최근 다양한 방법을 통해 악성 메일이 유포되고 있으므로 첨부파일인 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.  

 

 

□ 바이로봇 업데이트 내역

W97M.Downloader

Trojan.Win32.Emotet​ 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top