상단여백
HOME 보안뉴스 종합뉴스/정치/경제/사회/문화
미국 대선 후폭풍, 악성코드 '트럼프'
ironman | 승인2016.11.30 09:32

안랩은 지난 11월 8일(현지시각) 진행된 미국 대통령 선거(선거인단 선출)의 후폭풍이 아직 가라앉지 않은 가운데, 미국 대선과 관련된 악성코드가 발견돼 사용자들의 주의가 필요하다고 밝혔다. 

‘트럼프(trump)’라는 파일명의 이 악성코드는 화면보호기 파일(.scr)로 위장하고 있는데, 실행하면 미국 대통령 당선자 트럼프의 이미지와 연설문 내용이 담긴 JPG 파일이 나타난다. 단순한 이미지 파일로 위장하여 사용자의 의심을 피하여 몰래 동작하는 악성코드이다. 

 

 

[그림 1] 트럼프 관련 이미지로 위장한 이미지

 

닷넷프레임워크(.NET Framework)로 제작된 trump.scr 악성코드는 <C:\Documents and Settings\Administrator\Local Settings\Application Data\> 경로에 [그림 2]과 같이 이미지 파일(jpg)와 실행파일(exe) 등 2개의 파일을 생성한다. 

 

  

[그림 2] trump.scr 실행 시 생성되는 파일(EXE, JPG)

 

이렇게 추가로 생성된 파일 중 MmM_kmTMNA.exe는 윈도우(Windows) OS의 정상 프로세스인 script.exe를 이용하여 악성 vbs파일을 실행시킨다. 이 악성 vbs 파일은 특정한 경로에 rytr5674657gfhgjgj.eXe 파일을 생성하는데, 이 파일은 예전부터 지속적으로 유포되고 있는 Xtreme RAT 악성코드이다. 

 

  

[그림 3] Xtreme RAT 악성코드

 

이 악성코드는 사용자 시스템 내의 각종 정보를 수집하고 네트워크 연결을 통해 공격자가 시스템을 원격 조정하는 등의 악성 행위를 할 것으로 추정된다. 

 

V3 365 클리닉, V3 IS/ES 등 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 

 

<V3 제품군의 진단명>

Trojan/Win32.Xtreme (2016.11.16.07)

Trojan/Win32.Generic (2014.06.25.00)

Backdoor/Win32.Xtreme (2012.08.10.03)

 

많은 사람들의 관심이 집중된 것은 해커들의 관심을 끌기 마련이다. 사회적인 이슈 등 사람들의 호기심을 자극하는 파일명 또는 메일 제목 등을 이용하는 사회공학기법은 나날이 교묘해지고 있다. 사회공학기법에 의한 악성코드 감염 등 피해를 예방하기 위해서는 출처가 불분명한 파일 또는 이메일은 다운로드하거나 열어보지 않도록 주의해야 한다. 또한 PC의 OS 및 주요 프로그램의 최신 보안 업데이트를 적용해 취약점을 이용한 악성코드 감염을 예방하고 설치한 백신의 엔진 버전을 항상 최신으로 유지해 신•변종 악성코드에 의한 피해를 최소화하는 습관이 필요하다.

ironman  kyw@aisecuritynews.com

<저작권자 © 보안24, 무단 전재 및 재배포 금지>

ironman의 다른기사 보기
icon인기기사
여백
내리고
신화시스템
로고
징코스테크놀러지
회사소개기사제보광고안내불편신고개인정보취급방침청소년보호정책이메일무단수집거부
사업자명 : 보안24  |  서울특별시 금천구 디지털로9길 46,(이앤씨드림타워 7차, 408호)  |  대표전화 : 0507-1456-1987 |  대표이메일 : tmvlem@gmail.com
제호 : 보안24 |  등록번호 : 서울 아05301 |  사업자 번호 : 198-88-01018 |  신문등록년월일 : 2018년 7월 13일 |  대표자 : 박윤재  |  발행인ㆍ편집인 : 박윤재  |  청소년보호책임자 :박윤재
Copyright © 2020 보안24. All rights reserved.
Back to Top