음란물 사이트를 통해 유포하는 협박성 악성코드 감염 주의


1. 개요 


해외 음란물 사이트를 통해 유포된 이번 악성코드는 아동 음란물 다운로드 및 유포 행위에 대한 신고를 빌미로 사용자에게가상화폐를 요구한다. 감염 시스템상의 피해를 주진 않지만 금전 갈취를 목적으로 사용자PC에서 수집한 정보를 공개하고 있어 주의를 기울여야 한다. 

이번 보고서에는 가상화폐를 요구하는 협박성 악성코드에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

616,448 byte

진단명

Trojan/W32.PornBlackMailer.616448

악성동작

가상화폐 요구 협박













2-2. 유포 경로

해외 음란물 사이트를 통해 유포한다.




2-3. 실행 과정

악성코드를 실행하면 자기 자신을 ‘%appdata%’ 경로에 ‘temps.exe’ 라는 이름으로 복사하여 실행시킨다. 실행된 ‘temps.exe’ 는 사용자의 화면을 캡처하고 위치정보나 PC정보를 수집한다. 이후 바탕화면 경로에 ‘READ_ME.txt’ 파일을 생성한다.


아래 그림은 ‘READ_ME.txt’ 파일의 내용으로 요약하면 “당신은 아동 음란물을 보고 유포하였으며 가상화폐 0.01 코인을 24시간 내에 보내지 않으면 당신의 PC정보가 자동으로 경찰에 발송되어 처벌받게 될 것이다.” 라며 입금할 가상화폐 지갑주소를 안내하고 있다.


[그림 1] READ_ME.TXT 내용[그림 1] READ_ME.TXT 내용







3. 악성 동작


3-1. 사용자 화면 캡쳐

실제 사용자의 PC정보가 탈취되었다는 것을 감염자에게 확신시키기 위해 악성코드가 수집한 정보를 특정 경로에 저장하고사용자가 탈취된 정보를 확인할 수 있도록 ‘READ_ME.txt’ 파일 내용에 경로를 공개한다. 아래 그림은 사용자의 화면을  캡처하고 ‘%appdata%\Robin\server_logs\desktop_screens’ 경로에 파일로 저장한 모습이다.


[그림 2] 사용자 화면 저장[그림 2] 사용자 화면 저장




3-2. 사용자 정보 수집

위 내용과 같은 일환으로 PC정보가 탈취되었음을 사용자에게 확신시키기 위해 ‘%UserProfile%\AppData\Roaming\’  경로에 감염자의 IP, 위치, ISP, OS, CPU 정보 등을 ‘your_infomation.txt’ 파일에 저장하고 ‘READ_ME.txt’ 파일에 저장  경로를 공지하고 있다.


[그림 3] 사용자 화면 저장[그림 3] 사용자 화면 저장



3-3. 브라우저 쿠키 및 히스토리 정보 수집

뿐만 아니라 아래 그림과 같이 웹 브라우저의 쿠키와 히스토리 정보를 수집하는 것을 확인할 수 있다.


[그림 4] 브라우저 쿠키 수집[그림 4] 브라우저 쿠키 수집


[그림 5] 브라우저 히스토리 수집[그림 5] 브라우저 히스토리 수집




3-4. 배경화면 변경

아래와 같이 배경화면을 사용자의 IP 정보가 기입된 그림으로 변경하여 ‘READ_ME.txt’ 파일을 열람하도록 유도한다. ‘READ_ME.txt’ 파일 내용에는 가상화폐의 지갑주소가 공지되고 지갑주소는 아래 [표 1]과 같다.


[그림 6] 바탕화면 변경에 사용되는 그림[그림 6] 바탕화면 변경에 사용되는 그림



 

구분

내용

가상화폐 지갑 주소

1Nzieh*******************

1CKpj2r*******************

18AfNuXM*******************

1CzrDKSSC*******************

12nkyXjw*******************

1GVTebsP*******************

1P8VNkE*******************

[1] 가상화폐 지갑 주소






4. 결론

음란물 다운로드를 통해 유포되는 이번 악성코드는 아동 음란물 다운로드 및 유포 행위에 대한 신고를 빌미로 가상화폐를 요구한다. 파일을 암호화하거나 시스템 자체에 해를 끼치진 않지만 사용자 정보를 탈취하여 금전을 요구하는 협박성 악성코드가 PC나 모바일을 통해 종종 발견되어 사용자의 각별한 주의가 필요하다. 

이러한 피해를 최소화하기 위해 용도에 맞지 않는 확장자 파일은 실행 전 악성파일이 아닌지 의심해 봐야 한다. 또한 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 하는 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면











Posted by nProtect