1. 개 요


ESTsoft에서 제공중인 무료 백신 알약으로 위장한 악성파일이 등장하여 사용자들의 주의를 필요로 하고 있다. 해당 악성파일은 알약과 유사한 아이콘 및 디스크립션(설명)을 가지고 있어 일반 사용자의 경우 쉽게 현혹될 수 있으므로, 이번 글을 통해 해당 악성파일을 살펴보고 혹여, 발생할 수 있는 피해에 대비해 미리 예방할 수 있는 시간을 가져볼 수 있도록 하자.

참고적으로 금년 상반기 최고의 보안 이슈였던 3.3 DDoS 기간 때도 알약으로 위장한 악성파일이 출현하여 이슈가 되었던 전례가 있었다.

  

[국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장]
http://erteam.nprotect.com/134
  

3.3 DDoS 당시 발견되었던 알약 위장 악성파일의 경우 DDoS기능은 존재하지 않았으나 이번에 발견된 알약 위장 악성파일의 경우는 DDoS 기능을 포함 하고 있어 더욱 주의가 필요하다.

2. 감염 경로 및 증상

우선, 이번에 발견된 알약으로 위장한 악성파일은 아래의 그림과 같은 URL에서 유포되는 것으로 알려졌으나, 이메일의 첨부파일 형태로도 유포될 수 있다.

※ 알약 위장 악성파일 유포 경로(현재는 해당 URL에서 다운로드 되지 않고 있다.)
  - http://(생략).info/(생략)/100.exe

해당 URL은 그 유포지가 영국으로 확인되었으며, 내부 디스크립션(설명)이 한글로 되어있는 것으로 미루어보아 국내 상황을 파악하고 있는 악성파일 제작자가 영국의 IP를 유포지로 선택하여 사용하였음을 추측할 수 있다.
  


  

해당 악성파일을 다운로드 한 후 실행하게 되면 자신에 대한 삭제와 동시에 복사본을 아래와 같은 경로에 생성하며, 레지스트리 등록을 통해 윈도우와 함께 지속적인 실행이 가능하도록 구성하게 된다.

※ 생성 파일
  - C:\Documents and Settings\explorerere.exe (52,224 바이트)

※ 레지스트리 값 등록
  - [HKLM\SYSTEM\CurrentControlSet\Services\zvwerqt]
  - 값 이름 : ImagePath
  - 값 데이터 : "C:\Documents and Settings\explorerere.exe"


생성된 복사본은 아래의 URL에 지속적인 접속을 시도하여, 향후 추가적인 악성파일을 다운로드할 수 있다. 또한, 생성된 악성파일이 서비스단에 등록되어 Backdoor 및 일종의 Bot기능을 수행할 수 있을 것으로 추정되며, 현재 추가적인 증상 파악을 위한 분석이 진행되고 있다.

특징을 살펴보면 알약의 아이콘 뿐만 아니라 디스크립션(설명) 부분까지 도용하고 있다는 점이며, 자세히 살펴보면 정상 디스크립션(설명) 부분과 구분할 수 있는 차이점이 존재한다.

                                  < 악성 파일 >                                                            < 정상 파일 >

위 그림의 적색박스 부분을 살펴보면 악성파일과 정상파일간 "설명 :" 부분에서 아래와 같은 차이점을 보이고 있다.

※ 차이점
  - 정상 파일 : 알약 제품의 모듈 기능에 대한 설명 기술
  - 악성 파일 : 알약 제품에 대한 설명 기술


또한, 아래의 그림과 같이 DDoS 공격 기법중 하나인 "GET Flooding" 기법을 통해 지속적으로 특정 대상지에 GET Packet을 전송할 수 있다.


3. 예방 조치 방법

위와 같이 국내에서 많은 사용자를 가지는 프로그램으로 위장한 악성파일의 경우 일반 사용자들은 별다른 의심없이 다운로드 및 실행을 할 수 있다. 때문에 일단 유포가 이루어지면 감염이 쉬우며, 경우에 따라서 수많은 좀비 PC를 양산해 낼 수도 있으므로 사용자들은 아래와 같은 보안 관리 수칙을 준수하여 안전한 PC 사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램 등의 최신 보안 패치 생활화

2. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드 자제

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 반드시 설치하고 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON"상태로 유지해 사용한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.



 

저작자 표시
신고
Posted by nProtect

1. 개 요

최근 사회적으로 이슈가 되고있는 DDoS와 관련해 국내 특정 백신사의 전용백신으로 위장한 악성파일이 발견되었다. 해당 악성파일은 DDoS 공격 기능을 가지고 있지는 않은 것으로 알려졌으나, 사회적 이슈를 악용한 사회공학 기법의 악성파일이 다시금 등장하면서 DDoS와 관련해 추가적인 피해가 예상되고 있다.

[주의] 알약 DDoS 전용백신 위장 개인정보 유출 악성코드 등장
http://www.boannews.com/media/view.asp?idx=25143&kind=0

2. 감염 경로 및 증상

해당 악성파일은 국내 유명 포털 사이트의 카페 등을 통해 유포된 것으로 알려졌으며, 경우에 따라 DDoS 관련 이슈를 악용해 이메일의 첨부파일이나 메신저, SNS(Social Network Service) 등의 링크를 통해 유포될 수 있다.


위 그림과 같이 국내 백신사의 아이콘을 도용해 일반 사용자들은 쉽게 현혹될 수 있다. 또한, 해당 백신사의 디지털 서명을 사용한 것으로 알려졌으며, 아래의 그림과 같이 디지털 서명이 존재하지 않는 변종이 발견된 것으로 미루어 보아 지속적인 변종 제작 및 유포가 시도될 수 있다.

위 그림을 살펴보면 국내 백신사의 아이콘을 도용하면서 파일 내부적으로 공급자가 "Microsoft Corporation"으로 지정되어 있는 것이 특징이다.

해당 악성파일에 감염되면 아래와 같은 추가적인 악성파일들을 생성한다.

※ 생성파일

  - (윈도우 시스템 폴더)\inpleqlxa.exe (179,181 바이트)
  - (사용자 계정 폴더)\Temp\(7~8자리 임의의 숫자)_lang.dll (125,570 바이트)

또한, 아래와 같이 레지스트리 값을 등록하여 생성된 악성파일이 위도우 시작시 마다 실행될 수 있도록 한다. 

※ 레지스트리 생성 값

  - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\해당 CLSID]
  - 값 이름 : "stubpath"
  - 값 데이터 : (윈도우 시스템 폴더)\inldtepix.exe

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정) 이다.

현재 해당 악성파일은 DDoS와 같은 증상은 나타나지 않고 있다. 키로깅 등을 이용해 최종적으로 계정 정보 탈취 등의 동작을 수행하려는 것으로 추정되고 있으며, 현재 정밀분석이 진행중이다.

3. 예방 조치 방법

현재 DDoS가 사회적으로 이슈가 되고있는 만큼 신뢰할 수 있는 출처에서 제공된 정보를 선별적으로 접하는 습관이 중요하다. 또한, 해당 악성파일로 부터 안전하게 PC를 사용하기 위해 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화 하고, ▶메신저, SNS 등을 통한 링크 접속에 주의를 기울여야 한다. 마지막으로 무엇보다 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 중요하다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

저작자 표시
신고
Posted by nProtect