악성 파일 정보

[악성코드 분석] Emotet 악성코드 분석 보고서

Emotet 악성코드 분석 보고서

국내 특정 기업을 사칭한 Emotet 악성코드 유포 주의 

 

이모텟(Emotet)은 2014년 해외에서 처음 발견되어 금융정보를 탈취하는 악성코드로 현재까지도 유입량이 상위권에 속해있는 악성코드이다. 주로 견적서, 계약서 등 관련 내용의 피싱 메일을 통해 대량으로 유포되며 사용자 정보 탈취, 파일 다운로드 등 악성 동작을 수행한다.


최근 국내 특정기업을 사칭한 피싱 메일을 통해 ‘Emotet’ 악성코드가 유포되고 있어 사용자들의 주의가 필요하다. 해당 피싱 메일은 회의와 관련된 내용으로, 사용자가 첨부된 악성 워드 문서를 열람하도록 유도하고있다. 
 

[그림 1] 피싱 메일 


사용자가 피싱 메일에 첨부된 워드 문서를 열람할 경우, ‘콘텐츠 사용’ 클릭을 유도하고 있다.  

 

[그림 2] 악성 워드 문서 

 


본문 내용을 보기 위해 ‘콘텐츠 사용’ 버튼을 클릭할 경우, 악성 매크로가 활성화되어 파워쉘을 통해 C&C 서버로부터 추가 파일을 다운받는다.
 

[그림 3] 악성 파일 다운로드 



다운로드된 악성 파일은 ‘Emotet’ 악성코드이며 “C:\Users\사용자 계정명” 경로에 파일(602.exe)을 다운받고 실행한다. 
그리고 “C:\Users\사용자 계정명\AppData\Local” 경로에 임의의 폴더(metricsmult)를 생성하고 해당 폴더에 자가 복제본(metricsmult.exe)을 생성한 뒤 다시 실행된다. 
 

[그림 4] Emotet 악성코드 실행 



실행된 ‘Emotet’ 악성코드는 사용자의 PC 정보를 탈취하고 추가로 악성코드를 다운받을 수 있기 때문에 주의가 필요하다. 

 

위의 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 “Suspicious/WOX.Obfus.Gen.5”, “Trojan/W32.Emotet.355439”로 진단 및 치료가 가능하다.
 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면 


 

댓글

댓글쓰기