세상의 이슈를 악용하는 사람들이 있다.
"미북 정상회담 전망 및 대비"
라는 제목의 문서로 악성코드가 유포되었다.
한글 파일(hwp) 안에 악성 스크립트(EPS)를 삽입한 것.
이번 악성코드는 특이한 점이 있다.
첫째로, 사용자의 눈을 피하기 위해 C:\Ahnlab 경로에 파일을 생성한다.
C:\Ahnlab 경로에 생성되는 파일은 시스템 정보와 프로세스 리스트를 담은 TMP 파일, 그리고 NavRAT라는 원격 접근 도구 파일이다.
또한, 이 악성코드는 사용자의 키 입력값을 가로 채는 키로깅 기능을 포함한다.
두 번째 특이한 점은 naver email 계정을 이용해 정보를 메일로 전송한다는 점이다.
다행히 같은 naver 계정으로 여러 장소에서 로그인했기 때문에 naver 정책 위반으로 접속이 차단되었다.
이번 악성코드는 영향력이 없었으나 같은 패턴(EPS를 hwp에 삽입)으로 악성코드가 유포되고 있으므로 정체 불명의 문서를 주의해야 한다.
ex) 세무조사준비서류.hwp
법인(개인)협의거래보고내역.hwp
국내가상화폐의유형별현황및향후전망.hwp
