MS Office DOCX 문서 파일로 전파 되어지는 악성파일 주의

1. 개요

2011년 2월 24일경 해외의 특정 도메인을 통하여 MS 오피스 문서 파일의 포맷중 하나인 DOCX (Microsoft Office Word) 형식으로 유포 되어지는 악성파일이 발견되었다. 해당 문서 내에는 PE 구조의 EXE 파일이 포함 되어져 있으며 이를 실행하게 되면 추가적인 악성파일 감염이 진행될 수 있으므로 발신처가 불분명한 이메일의 첨부 파일이나 특정 웹 사이트를 통하여 다운로드 받아진 문서파일 열람시 주의가 필요 할 것으로 보여진다.

 

2. 감염 방식 및 감염 증상

특정 도메인을 통하여 다운로드 되어진 DOCX 문서 파일은 다음과 같이 satna.docx 란 파일명으로 되어져 있다. 또한, 악성파일 유포자에 의하여 파일명이 언제든지 재 변경 되거나 새로운 기법을 통하여 유포가 가능할 것으로 추정되어 진다.

아래의 그림은 현재까지도 다운로드가 가능한 악성 DOCX 문서 파일 이다.

해당 문서파일을 실행하게 되면 아래와 같이 영어와 아랍어가 조합되어진 내용이 보여지게 된다.
 

또한, 문서 중앙 우측에 보이는 메모장 아이콘을 더블 클릭하도록 유도 하고 있으며, 해당 부분을 더블 클릭하게 되면 아래와 같은 경고창이 활성화 되면서 워드 파일 내부에 포함되어진 PE 구조의 EXE 파일이 실행되어 진다.

현재 워드파일 내부에 포함 되어진 PE 구조의 EXE 파일을 외부로 Drag and Drop 하여 추출 하여 보았으며, 실행 가능한 PE 구조의 파일은 다음과 같았다.

위의 경고창의 실행 버튼을 누르면 아래와 같은 경로에 메모장 아이콘처럼 위장 되어진 악성파일이 생성되게 된다.

생성 되어진 svchosts.exe 파일은 아래와 같이 특정 레지스트리 값에 등록되어 윈도우 시작 시 재감염이 진행되게 한다.

[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

 - 값 이름 : "HKCU Key"
 - 값 데이터 : "C:\Documents and Settings\Administrator\Application Data\svchosts.exe"

3. 예방 조치 방법

이와 같은 악성파일로 부터 안전하기 위해서는 다음과 같은 컴퓨터 사용을 생활화 하도록 하자!

1. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 특정 웹 사이트를 통하여 다운로드 받아진 파일에 대하여 검증절차 없이 실행 할 경우 주의를 기울이도록 한다.
2. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치 적용
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 사용해야 하며, 실시간 감시 기능을 "ON" 상태로 유지하도록 한다.

현재 MS Office DOCX 문서 파일로 전파 되어지는 악성파일과 관련하여 nProtect Anti-Virus 제품군에서는 모두 치료가 가능하며, 잉카인터넷 대응팀 에서는 지속적으로 발생 가능한 변종 보안 위협에 대하여 상시 대응체계를 유지 하고 있다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면