디자인수정 요청.doc 제목의 첨부파일 주의하세요!

최근 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있다. '콘텐츠 사용' 기능을 활용한 악성 매크로를 포함하고 있으며 악성 파일을 다운로드해 정보 탈취를 시도하기 때문에 각별한 주의가 요구된다.

 

이번 글에서는 ASEC 분석팀이 확인한 정보 탈취형 악성 문서에 대해 자세히 살펴본다.

 

ASEC이 발견한 악성 파일의 이름은 '디자인수정 요청.doc'로 ​아래와 같이 매크로 실행을 유도하는 이미지가 포함되어 있다.


[그림 1] 워드 문서에 포함된 이미지

 


[그림 2] '디자인수정 요청.doc' 문서 정보

 

해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어 있다. 사용자가 콘텐츠 사용 버튼 클릭 시 매크로가 자동으로 실행되어 추가 악성 파일을 다운로드한다.

 


[그림 3] '디자인수정 요청.doc'에 포함된 매크로 코드 일부

 

이후 다운받은 temp.doc 문서 파일을 실행한다. 해당 워드 문서는 아래와 같이 국내 기업을 사칭한 내용을 담고 있다.

 


[그림 4] temp.doc 본문 내용

 


[그림 5] temp.doc 문서 정보

 

temp.doc에는 앞서 다운로드한 no1.bat 파일을 실행시키는 매크로가 포함되어 있다.

 


[그림 6] 'temp.doc'에 포함된 매크로 코드 일부

 

워드 파일을 통해 실행된 no1.bat 은 vvire.bat 을 실행시킨다. vvire.bat이 존재하지 않을 경우 hxxp://filedownloaders.com/doc09/vbs6.txt 에서 다운로드 한 setup.cab 파일의 압축 해제 후 vvire.bat을 실행한다.

 


[그림 7] no1.bat 파일 내부

 

vvire.bat은 레지스트리 등록 및 no4.bat 파일 실행, 추가 파일 다운로드 기능을 수행한다.

 


[그림 8] vvire.bat 파일 내부

 

Start.vbs 파일을 레지스트리에 등록하여 vvire.bat 파일이 자동으로 실행될 수 있도록 하며, no4.bat 실행 후 no1.bat을 삭제한다. 이후 특정 파일이 존재하는지 확인하여 hxxp://senteroman.com/dow11/%COMPUTERNAME%.txt 에서 추가 파일을 다운로드 및 실행한다. ASEC 분석팀은 현재 해당 파일의 경우 다운로드가 되지 않아 확인이 불가한 것으로 확인됐다.

 

Start.vbs 파일은 아래와 같다.

 


[그림 9] star.vbs 파일 내부

 

vvire.bat을 통해 실행된 no4.bat에서는 아래의 사용자 PC의 정보를 수집하여 hxxp://senteroman.com/upl11/upload.php로 유출하는 기능을 수행한다. no4.bat 실행 시 C:\Users\Public\Documents\ 폴더에 아래와 같이 수집된 정보가 포함된 파일들이 생성되며, 수집한 정보를 업로드했을 시 upok.txt 파일을 생성한다.

 


[그림 10] 생성된 파일 목록

 

해당 악성코드와 같이 문서 내부에 매크로 사용을 유도하고 정상적인 사용자를 사칭하는 본문 내용을 가진 악성 파일은 꾸준히 유포되고 있어 사용자의 주의가 필요하다. 문서에 포함된 매크로가 자동으로 실행되지 않도록 설정하고 의심스러운 문서의 열람을 자제해야 한다.

출처 : AhnLab