[상세보고서] 감염된 한컴 오피스 파일 관련 악성코드
- 보안 정보/악성코드 분석보고서
- 2015. 11. 4. 15:12
malwares.com 악성코드 분석팀 분석 자료
< 부제 : 난 한놈만 패!!! >
1. 개요
최근 알 수 없는 악성코드에 의해 한글 오피스 파일만을 타겟으로 감염시킨 사례가 보도된 바 있다.
광범위하게 확산되는 형태가 아닌 한글 오피스 파일만을 노린 것으로 보아 APT 공격에 의한 파일 감염으로 추정된다.
한컴 오피스 파일만을 타겟으로 하는 악성코드의 숨은 의도는 무엇이었을까?
과연 이러한 형태는 언제부터 지속적으로 공격이 이루어졌던 것일까?
malwares.com 을 통해 추적해 보았다.
관련 기사 보러가기 : [전자신문] 정상 파일 속에 몸 숨긴 고도의 악성코드 비상령
파일감염 : 악성코드의 악성행위 중 하나로, 정상 파일 내부에 악성 동작을 위한 코드를 삽입한 후 (감염 여부를 알지 못하
는) 사용자가 감염된 파일을 실행하면 악성 동작을 수행하는 형태로 악성코드를 삽입하는 위치에 따라 전위형,
후위형등으로 나뉜다.
2. 악성코드 파일 정보
특징 : 다운로더, 파일 감염형
감염 대상 파일 |
SHA-256 |
HncNote.exe |
5B3E1F8B061441C826D0EF6CA6C43B038FEB89FB41EC9666985570A662B1A496 |
HncRegUtil.exe |
5D5EEA7484D2F617A1F9C77F9B014C34F561117D9E55518A27AA12182BD7E1C9 |
HwpDic.exe |
3E3D33A2BA1E7576526C698317092C38056805928B8919CA3063C9EAF725C390 |
HwpFinder.exe |
7B43E8BD61CE775AB85C09357FFE8AACE85BC82D30BDFBB04F2EFE5DD4B053AC |
HwpPrnMng.exe |
FD94CD5389DD66BEE65909CB555ABE541F61C5A419F7EF0EDA81B07ADE7B9236 |
malwares.com 정보 : HncNote.exe, HncRegUtil.exe, HwpDic.exe, HwpFinder.exe, HwpPrnMng.exe
파일명 : WLIDSVC.EXE
파일크기 : 1,330,688 Bytes
특징 : Self-Extractor, Drop
SHA-256 : 1E2D5BC5F6E1EED153A55000EC90D4EF2114456224434E7BFCF23338D125B6E8
malwares.com 정보 : https://goo.gl/3Q0xLR
▶ 보고서 원본 PDF 다운로드: https://goo.gl/bO2esp
* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.
'보안 정보 > 악성코드 분석보고서' 카테고리의 다른 글
| [상세보고서] HDRoot v1.0 (0) | 2015.11.16 |
|---|---|
| [월간 동향 보고서] 2015년 10월 (0) | 2015.11.13 |
| [상세보고서] W32.Moker v 1.0 (0) | 2015.10.21 |
| [월간 동향 보고서] 2015년 9월 (0) | 2015.10.07 |
| [상세보고서] 스마트폰을 노리는 Android/Simplocker (0) | 2015.09.22 |
