▶ Windows 환경에서 정상 실행 파일(PE)에 자신의 코드를 삽입해 확산되는 파일 감염형 악성코드
▶ 시스템 내에 존재하는 다른 실행 파일을 감염시키면서 지속적으로 확산되는 바이러스 형태의 특성을 가짐
1. 파일 정보
□ Expiro
|
MD5
|
535f98371370fa09383f23ccc0c265a7 |
|
SHA1
|
209ae34bd1ffe429f049bf5fb3a060cc432d5f4c |
| SHA256 | 4ff3ce11ecc591dbcd331ae8d10bede96519d706678ab483aa0169cbbbaa4f47 |
2. 개요
Expiro는 Windows 환경을 대상으로 동작하는 파일 감염형(File Infector) 악성코드로, 정상 실행 파일(PE 파일)에 자신의 코드를 삽입하여 확산되는 특징을 가진다. 이 유형의 악성코드는 단순히 독립적으로 실행되는 트로이목마와 달리, 시스템 내에 존재하는 다른 실행 파일을 감염시키면서 지속적으로 확산되는 바이러스 형태의 특성을 가진다.
Expiro는 2010년대 초반부터 활동해 온 Windows 파일 감염형 악성코드로, 과거에 널리 확산된 대표적인 file infector 계열이다. 현재는 주요 위협군은 아니지만 변종이 주기적으로 발견되고 있으며 일부 환경에서는 여전히 감염 사례가 보고되는 지속형 악성코드로 평가된다.
Expiro는 감염 대상이 되는 실행 파일의 PE 구조를 수정하여 악성 코드를 삽입하고 변경하는 방식으로 동작한다. 감염된 프로그램이 실행되면 먼저 Expiro의 악성 코드가 실행되고, 이후 원래 프로그램의 정상적인 실행 흐름을 복원하여 사용자에게는 정상 프로그램이 실행되는 것처럼 보이도록 한다. 이러한 방식은 사용자에게 감염 사실을 인지하기 어렵게 만들며, 동시에 시스템 내 다수의 실행 파일을 감염시키는 확산 메커니즘을 가능하게 한다.
또한 Expiro는 단순한 파일 감염 기능뿐만 아니라 정보 탈취 기능을 함께 수행하는 것으로 알려져 있다. 대표적으로 웹 브라우저 저장 계정 정보, FTP 인증 정보, 이메일 계정 정보, 그리고 일부 암호화폐 지갑 데이터 등을 수집하여 외부 명령제어(Command and Control, C2) 서버로 전송하는 기능을 포함할 수 있다. 이러한 특성 때문에 Expiro는 File Infector와 Information Stealer의 특징을 동시에 가지는 복합형 악성코드로 분류된다.
종합적으로 Expiro는 파일 감염을 통한 확산 능력과 정보 탈취 기능을 동시에 수행하는 Windows 기반 악성코드로, 감염된 시스템에서 다수의 실행 파일을 변조하고 사용자 정보를 외부로 유출할 수 있어 보안상 큰 위협이 되는 악성코드 유형으로 평가된다.
3. 첫 번째 파일 분석
- 해당 파일을 우선 실행하게 되면 다음과 같이 정상적인 Chrome 설치 과정이 나타난다.
[생략]
📊 전체 내용을 보시려면 아래 링크를 클릭해주세요.
누리랩(Nurilab) - 보안 이슈 분석 리포트(Security&Tech Blog)
누리랩(Nurilab) - 보안 이슈 분석 리포트(Security&Tech Blog)
누리랩(Nurilab) - 보안 이슈 분석 리포트
www.nurilab.com
AI로 보안의 가치를 더하는 기업, 누리랩
[ 홈페이지→ ]
'보안 리포트 및 칼럼' 카테고리의 다른 글
| [칼럼] 캄보디아 범죄 조직, 중고나라 67억 사기 행각 (0) | 2026.03.23 |
|---|---|
| Nova Shadow Stealer 악성코드 분석 보고서 (0) | 2026.03.16 |
| [누리랩] 일본 피싱 대책 협의회 2026년 1월 피싱 신고 현황 (0) | 2026.03.03 |
| [칼럼] 폭등하는 주식시장과 함께 증가하는 피싱·투자 사기 (0) | 2026.02.27 |
| Phantom Card 악성 앱 분석 보고서 (0) | 2026.02.12 |