Центр экстренного реагирования AhnLab Security (ASEC) подтвердил распространение вредоносного ПО, замаскированного под файлы документов Hancom Office. Распространяемая вредоносная программа называется "Who and What Threatens the World (Column).exe" и предназначена для обмана пользователей с помощью иконки, похожей на иконку Hancom Office.
При распаковке сжатого файла обнаруживается относительно большой файл размером 36 466 238 байт.
Вредоносная программа
- создает папку onedrivenew в каталоге AppData и самокопирует себя с именем onedrivenew.exe, чтобы выглядеть как обычный файл.
- создает и выполняет обычный файл Hancom Office с тем же именем, что и вредоносная программа, в той же директории, где она была запущена. Вредоносная программа внедряется и выполняется в рамках обычного процесса Windows под названием mstsc.exe. Оригинальный файл удаляется с помощью команды cmd.
- регистрирует свой файл с именем onedrivenew под ключом Run, чтобы он запускался после перезагрузки системы.
- использует команду schtasks.exe для регистрации файла в планировщике задач с именем OneDriveOp для подключения к определенному URL каждые 60 минут с помощью обычного файла Windows mshta.exe. URL, зарегистрированный в планировщике задач, выглядит как обычная домашняя страница, но содержит веб-оболочку.
Indicators of Compromise
URLs
- http://ingarchi.com/bbs/data/culture
- http://ingarchi.com/bbs/data/culture/getcfg.php
MD5
- 93fc0fb9b87a00b38f18c1cc4ee02e50
