해당 악성코드는 견적서를 사칭하여 사용자가 파일 실행을 하도록 유도한다. 파일명을 pdf.exe로 만들어서 확장자가 보이도록 설정하지 않은 사용자들은 pdf파일으로 착각할 수 있다. ckav.ru 라는 문자열을 확인 할 수있는 공격자의 악성코드이며, 해당 악성코드는 유저 이름, 컴퓨터 이름, 운영체제 정보 등의 시스템 정보, FTP 프로그램과 웹 브라우저에 저장된 계정 정보를 전송하는 기능을 가진다.
특정 기관을 사칭하여 사용자가 첨부파일을 열어보도록 유도하였다. [PDF.EXE 악성파일] 해당 악성파일은 패킹되어있으며, 특정 루틴을 통해 복호화된다.
해당 악성코드는 백신 탐지, 가상웨어 탐지, 디버거 탐지 등 여러가지 분석 방해 기법..........
191219_사용자 정보 수집용 PDF.EXE(ckav.ru)에 대한 요약내용입니다.
자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.
