> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
저가 원격제어 SW 이용해 제작된 악성코드 유포
이스트시큐리티 “‘모바일 전송 메일’ 위장 악성메일 대량 유포…메일에 내용 없어 첨부된 엑셀파일 실행하도록 유도”
2019년 02월 14일 15:53:21 김선애 기자 iyamm@datanet.co.kr
   

저가의 원격제어 프로그램 ‘애미 어드민(Ammyy Admin)’에서 유출된 소스코드를 기반으로 제작된 악성코드가 ‘모바일 전송 메일’로 위장해 유포되고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 ‘모바일 전송 메일’로 위장한 악성메일이 대량 유포되고 있는데, 이 메일은 악성코드가 포함된 엑셀(xls) 파일을 첨부하며, 사용자가 확인 가능한 내용이 없어 궁금증을 유발시켜 첨부된 엑셀 파일 실행을 유도한다. 엑셀 파일이 열리면 삽입된 매크로를 실행시키도록 유도한다.

해당 파일은 DDE를 통해 악성코드 설치파일을 다운로드한다. 최종 페이로드인 ‘wsus.exe’는 감염된 PC를 통해 원격 제어를 수행한다. 최종 악성코드를 다운받기 위해 2개의 도메인을 통해 각각 다운로드가 진행된다. 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위한 것으로 보인다.

최종 실행되는 wsus.exe는 원격제어 악성코드로써 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행한다.

ESRC는 “출처가 불분명한 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해야 하며, 파일을 실행하기 전 백신 프로그램을 이용해 악성 여부를 확인함으로써 관련 피해를 예방할 수 있다”고 말했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이스트시큐리티, 애미 어드민, 원격제어, 소스코드
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr