급여 대장을 위장하여 유포되고 있는 악성 .chm 바카라 꽁머니 주의!

악성이메일을통해윈도우도움말바카라 꽁머니(.chm)바카라 꽁머니이유포되고있어주의가필요합니다.

악성 이메일은 세무 사무실에서 발송한 급여 대장으로 위장하고 있으며,'급여대장'의 바카라 꽁머니명을 가진 압축바카라 꽁머니을 첨부하여 수신자의 호기심을 유발합니다.

압축 바카라 꽁머니 내에는 txt 바카라 꽁머니과 함께 또 하나의 압축바카라 꽁머니이 있으며, 해당 압축 바카라 꽁머니 내에는 '급여대장.chm'이 포함되어 있습니다.

chm 바카라 꽁머니 내부에는 악성 스크립트가 포함된 html 바카라 꽁머니이 포함되어 있으며, 사용자가 chm 바카라 꽁머니 실행 시정상 바카라 꽁머니처럼 위장한 12월분 급여 및 상여 내역이 보여주지만 백그라운드에서는 다음과 같은 악성행위를 합니다.

바카라 꽁머니이 실행되면 악성 명령어가 실행되며 %USERPROFILE%\Links 하위경로에 chastart.vbs, chanew.bat 바카라 꽁머니을 저장합니다. 이후 chastart.vbs 바카라 꽁머니을 실행하며, 실행된chastart.vbs바카라 꽁머니은chanew.bat을 실행합니다.

또한레지스트리 자동실행(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)에 chastart.vbs를 등록하여재부팅 시에도 자동으로 실행될 수 있도록 설정합니다.

chanew.bat 바카라 꽁머니은 C&C에 접속하여 추가로 no01.bat와 setup.cab 바카라 꽁머니을 내려받고 no01.bat바카라 꽁머니을 실행합니다.

no01.bat 바카라 꽁머니은 실행 후 setup.cab 바카라 꽁머니의 압축을 해제 후 wonna.bat 바카라 꽁머니을 실행합니다.

setup.cab 바카라 꽁머니은 다음과 같은 바카라 꽁머니들로 구성되어 있습니다.

최종적으로 실행되는 no4.bat 바카라 꽁머니은 다운로드 목록, 문서, 하위폴더 바카라 꽁머니 목록, 공인 ip정보, 프로세스 목록, 시스템 정보, 바탕화면 캡쳐 후 공격자 서버로 전송합니다.

사용자 여러분들께서는 수상한 이메일에 첨부되어 있는 바카라 꽁머니의 열람을 지양해 주시기 바라며, 유사한 위협 사례들이 꾸준히 발견되고 있다는 점을 명심해 주시기 바랍니다.

현재 알약에서는 해당 악성코드에 대해Trojan.Downloader.VBS.Agent, Trojan.BAT.Agent등으로 탐지중에 있습니다.