‘XX이 협박용’ 파일명을 가진 악성코드 주의
안녕하세요. 이스트해외 바카라 사이트 해외 바카라 사이트대응센터(ESRC)입니다.
최근‘XX이 협박용’이라는 파일명을 가진 악성코드가 발견되어이용자들의 주의를 당부 드립니다.
이번에 발견된'XX이 협박용.scr' 악성코드를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에'LocalDQhZjmCUTx.exe' PE 파일과'LocalZaMiXJBzqg.mp4'동영상 파일을 드롭 및 실행합니다. 공격자는 다음의동영상 화면을 통해 PE 파일 실행을 숨기려한 것으로 보여집니다.
[그림 1]LocalZaMiXJBzqg.mp4'동영상 파일 재생 화면
파일실행 및 드롭 코드는 아래와 같습니다.
[그림 2] 파일 드롭 및 실행 코드
드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 파일은 닷넷으로 제작된 'njRAT'와 유사하며,jongttttt.codns.com (221.164.241.219)에 접속합니다. 또한 키로킹, 웹캠 액세스 등의 다양한 악성 기능을 포함하고 있어, 감염 시 정보 유출 등의 피해가 발생할 수 있습니다.
[그림 3] 키로깅 코드 중 일부
따라서 악성코드에 감염이 되지 않기 위해서는 검증되지 않은 파일을실행하기 전, 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.
현재 해외 바카라 사이트에서 관련 악성코드를‘Trojan.Dropper.4729344B’, 'Trojan.Agent.921600', 'Trojan.Dropper.2023424C'로 진단하고 있습니다.