Вредоносное ПО распространяется под видом файла с паролем

security IOC

В прошлом месяце Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) обнаружил штамм вредоносной программы, замаскированный под файл паролей и распространяемый вместе с обычным файлом в сжатом файле. Пользователям трудно заметить, что этот файл является вредоносным, поскольку этот тип вредоносного ПО распространяется вместе с обычным файлом. Недавно обнаруженные вредоносные программы были в форматах файлов CHM и LNK. В случае с файлом CHM он относится к тому же типу, что и вредоносная программа, о которой говорится в следующем сообщении, и предполагается, что он был создан той же группой угроз.

Считается, что файлы CHM и LNK распространяются в сжатом виде вместе с обычным файлом, защищенным паролем. Пользователям предлагается выполнить файлы CHM или LNK, поскольку они выглядят так, как будто содержат пароли для защищенных паролем файлов Excel и HWP.

Хотя эти два типа распространялись в одинаковом формате, вредоносное поведение, которое в итоге выполнялось, позволяет предположить, что они были созданы разными группами.

Выполнение файлов passwd.chm или Password.chm, отображает пароль к заблокированному файлу и одновременно запускает выполнение содержащегося в них вредоносного сценария.

Этот тип вредоносного ПО может выполнять различные вредоносные действия в зависимости от намерений угрожающего субъекта. Более того, поскольку различные другие группы угроз используют этот метод распространения вредоносного ПО наряду с обычными файлами, команда предполагает, что существуют и другие формы этого вредоносного ПО, помимо уже подтвержденных файлов CHM и LNK. Как показано выше, поскольку различные формы вредоносного ПО распространяются среди корейских пользователей, пользователям рекомендуется всегда проверять отправителя получаемых ими писем и быть особенно осторожными при открытии вложенных файлов.

Indicators of Compromise

URLs

  • http://141.105.65.165/data/11.html
  • http://hondes.getenjoyment.net/denak/info/list.php?query=1
  • http://shacc.kr/skin/product/1.html

MD5

  • 2b79e2bd6548118c942480a52b5a1669
  • 809528921de39530de59e3793d74af98
  • b39182a535f41699280ca088eef0f258
SEC-1275-1
Добавить комментарий