급여 명세서 위장한 악성코드 주의점 및 원리

2015 06 23 

최근에 영문 급여 명세서로 위장한 PDF파일로 악성코드를 심어 유포하는 사례가 발생했는데요.

PDF파일도 하나의 실행파일이기 때문에 드랍퍼가 가능합니다.

PDF의 확장자기 때문에 의심없이 다운로드 받아가 실행을 한다면 악성코드가 실행되는 형태입니다.

저에게도 메일이 온다면 뜯어서 보고 싶은데 구하기가 쉽지가 않네요. 

아마도 특정경로에 파일을 자가 복제 한 뒤 악성 PDF파일을 삭제한 뒤 C&C서버에서 악성 행위에 필요로 한 파일을 추가로 다운로드하고 해당 PDF파일은 숨김 속성으로 숨겨놓고 Application data 와 시작프로그램에 숨겨논 뒤

실제 행위가 가능한 레지스트리 RUN에 실행 악성코드를 박은 뒤 아주 은밀하게 뒤 처리를 할 것 인데요.

공격 유사시 c&c서버로 사용될 수 있고 ddos 등의 좀비로 이용될 수 있고 최근 유행하는 금융 정보 관련된 악성코드로 공격을 할 수 있으니 주의하셔야 합니다.

일반적으로 실행파일은 상당히 다양합니다. 흔히 알고 있는 exe외에도 avi,bat,bmp,dat,doc,html,hwp,iso,jpg,mid,mp3 등등 수많은 실행 확장자가 존재합니다. 

그러니 발신자가 누군지 확인이 되지 않는 상태이거나 나와는 상관없는 내용의 메일이나 호기심을 불러 일으킬만한 메일의 다운로드는 삼가하셔야 합니다.