블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice

2014. 8. 5. 02:18 악성코드분석

오래간만에 웬일로 악성코드 스팸메일이 왔더군요. 악성코드의 이름은 Payment.doc

Microsoft Office Word의 자동매크로 실행 취약점을 통한 개인과 중소기업을 노린 전형적인 스팸 메일 악성코드 입니다.

매크로로 감염되는 악성코드여서 직접 클릭만 안하신다면 괜찮습니다.


자세한 전문은 http://myonlinesecurity.co.uk/irs-notification-fiscal-activity-71363-word-doc-malware/ 을 확인하세요.


원본 doc(Payment.doc) 파일의 바이러스 토탈 검사 결과는

https://www.virustotal.com/ko/file/356f98b0a0487c4c67262b669383e3509eb1097f22566840bae5cd2659797b2e/analysis/1407169608/


최종 실행 파일(u.exe)의 바이러스 토탈 검사 결과는 

https://www.virustotal.com/ko/file/f8f8d2f942894e06935bec27d20fe20c9646d69920ccb97cfcca4402c0aafb3b/analysis/1407170985/

입니다. 


해당 악성코드는 국내 백신으로는 V3,알약으로 치료할수 있고 해외 백신으로는 Avira, 카스퍼스키, 비트디펜더등으로 치료 가능합니다.



해당 악성코드는 계정정보가 바뀌어 그에 대한 정보를 읽으라는 말이 적혀있어 궁금증을 유발시켜

 보다시피 위의 Payment.doc이란 파일을

유저들이 직접 실행시키게 하는 방식입니다.  




내부 문서를 직접 실행 시켜보면 

"On the Edit menu, click Select ALL (or press Ctrl+A), and then the complete the formatting of this document." 

라는 내용이 적혀 있습니다. 


해당 doc파일은 단순히 txt로 확장자명만 바꾸어 열어도 해당 악성코드 접속링크가 보이더군요.


최종 파일은 zbot 실행파일인 u.exe로 해당 파일에 감염되실경우 국내 백신으로도 충분히 치료 가능합니다.


위와 같은 메세지로 첨부파일에 관한 궁금증으로 현혹시키는 악성코드가 상당히 많으니 유의하시길 바랍니다.


posted by 쿠들릭

댓글을 달아 주세요

  1. 잘 보고 갑니다. 오늘도 활기찬 하루 되시길요. ^^

prev 1 2 3 4 5 6 7 ··· 99 next