[상세보고서] 감염된 한컴 오피스 파일 관련 악성코드

malwares.com 악성코드 분석팀 분석 자료


< 부제 : 난 한놈만 패!!! >


1. 개요


최근 알 수 없는 악성코드에 의해 한글 오피스 파일만을 타겟으로 감염시킨 사례가 보도된 바 있다. 

광범위하게 확산되는 형태가 아닌 한글 오피스 파일만을 노린 것으로 보아 APT 공격에 의한 파일 감염으로 추정된다. 

한컴 오피스 파일만을 타겟으로 하는 악성코드의 숨은 의도는 무엇이었을까?

과연 이러한 형태는 언제부터 지속적으로 공격이 이루어졌던 것일까?

malwares.com 을 통해 추적해 보았다. 



파일감염 : 악성코드의 악성행위 중 하나로, 정상 파일 내부에 악성 동작을 위한 코드를 삽입한 후 (감염 여부를 알지 못하

                는) 사용자가 감염된 파일을 실행하면 악성 동작을 수행하는 형태로 악성코드를 삽입하는 위치에 따라 전위형, 

                후위형등으로 나뉜다. 


2. 악성코드 파일 정보


특징 : 다운로더, 파일 감염형

 감염 대상 파일

 SHA-256

 HncNote.exe

 5B3E1F8B061441C826D0EF6CA6C43B038FEB89FB41EC9666985570A662B1A496

 HncRegUtil.exe

 5D5EEA7484D2F617A1F9C77F9B014C34F561117D9E55518A27AA12182BD7E1C9

 HwpDic.exe

 3E3D33A2BA1E7576526C698317092C38056805928B8919CA3063C9EAF725C390

 HwpFinder.exe

 7B43E8BD61CE775AB85C09357FFE8AACE85BC82D30BDFBB04F2EFE5DD4B053AC

 HwpPrnMng.exe

 FD94CD5389DD66BEE65909CB555ABE541F61C5A419F7EF0EDA81B07ADE7B9236

malwares.com 정보 : HncNote.exe, HncRegUtil.exe, HwpDic.exe, HwpFinder.exe, HwpPrnMng.exe


파일명 : WLIDSVC.EXE

파일크기 : 1,330,688 Bytes

특징 : Self-Extractor, Drop

SHA-256 : 1E2D5BC5F6E1EED153A55000EC90D4EF2114456224434E7BFCF23338D125B6E8

malwares.com 정보 : https://goo.gl/3Q0xLR



















▶ 보고서 원본 PDF 다운로드: https://goo.gl/bO2esp 


* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.



이 글을 공유하기

댓글(0)