* 출처는 안랩입니다.
최근 안랩이 해외 유명 배송 업체를 사칭한 피싱 메일을 통해 구로더(GuLoader) 악성코드가 유포 중인 정황을 확인했다. 메일 본문에는 사용자가 사후납부통관 세금을 확인해야 한다는 내용과 함께 첨부 파일 실행을 유도하는 메시지를 담고 있었다. 구로더 악성코드는 파일을 실행하는 순간, 시스템에 악성코드를 침투시키며, 이후 다양한 공격을 수행할 수 있다.
구로더 악성코드의 실행 과정을 살펴보자.
[그림 1] 피싱 이메일 본문
첨부 파일에는 난독화된 VBScript가 포함돼 있으며, 실행 시 내부에 포함된 파워셸(PowerShell) 스크립트를 조합해 실행하고, 외부에서 추가 파일을 다운로드한다. 이후 HKEY_CURRENT_USER\SOFTWARE[랜덤명]이름의 레지스트리 키를 생성해 난독화된 파워셸 스크립트(PowerShell Script)의 지속성을 유지한다.
* 전체내용은 아래에서 확안하세요.
https://www.ahnlab.com/ko/contents/content-center/35800
![[다나와] 레노버 노트북 슬림3 램16GB NVME256GB (혜택가 51만원대)](http://img.danawa.com/images/attachFiles/6/783/5782752_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
![[MV]최초이자 유일한 PC케이스 뮤비. DF4100 써보고 안 만들 수 없었습니다...](https://img.danawa.com/images/attachFiles/6/784/5783835_1.jpeg?shrink=320:180)
![AI 시대는 고성능 레노버 요가 노트북과 함께! 레노버 요가 Slim 7i 15ILL9 Aura Edition[노리다]](https://img.danawa.com/images/attachFiles/6/784/5783839_1.jpeg?shrink=320:180)
![가성비 좋은 4K 올라운드 모니터는 바로 이겁니다! [프리미엄 리포터V]](https://img.danawa.com/images/attachFiles/6/784/5783730_1.jpeg?shrink=320:180)
![[네이버] 터틀비치 Stealth Pivot 컨트롤러, 할인종료 D-2](https://img.danawa.com/images/attachFiles/6/784/5783806_18.png?fitting=Large|140:105&crop=140:105;*,*)
