В прошлом месяце Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) обнаружил штамм вредоносной программы, замаскированный под файл паролей и распространяемый вместе с обычным файлом в сжатом файле. Пользователям трудно заметить, что этот файл является вредоносным, поскольку этот тип вредоносного ПО распространяется вместе с обычным файлом. Недавно обнаруженные вредоносные программы были в форматах файлов CHM и LNK. В случае с файлом CHM он относится к тому же типу, что и вредоносная программа, о которой говорится в следующем сообщении, и предполагается, что он был создан той же группой угроз.
Считается, что файлы CHM и LNK распространяются в сжатом виде вместе с обычным файлом, защищенным паролем. Пользователям предлагается выполнить файлы CHM или LNK, поскольку они выглядят так, как будто содержат пароли для защищенных паролем файлов Excel и HWP.
Хотя эти два типа распространялись в одинаковом формате, вредоносное поведение, которое в итоге выполнялось, позволяет предположить, что они были созданы разными группами.
Выполнение файлов passwd.chm или Password.chm, отображает пароль к заблокированному файлу и одновременно запускает выполнение содержащегося в них вредоносного сценария.
Этот тип вредоносного ПО может выполнять различные вредоносные действия в зависимости от намерений угрожающего субъекта. Более того, поскольку различные другие группы угроз используют этот метод распространения вредоносного ПО наряду с обычными файлами, команда предполагает, что существуют и другие формы этого вредоносного ПО, помимо уже подтвержденных файлов CHM и LNK. Как показано выше, поскольку различные формы вредоносного ПО распространяются среди корейских пользователей, пользователям рекомендуется всегда проверять отправителя получаемых ими писем и быть особенно осторожными при открытии вложенных файлов.
Indicators of Compromise
URLs
- http://141.105.65.165/data/11.html
- http://hondes.getenjoyment.net/denak/info/list.php?query=1
- http://shacc.kr/skin/product/1.html
MD5
- 2b79e2bd6548118c942480a52b5a1669
- 809528921de39530de59e3793d74af98
- b39182a535f41699280ca088eef0f258