1. 개 요

최근 사회적으로 이슈가 되고있는 DDoS와 관련해 국내 특정 백신사의 전용백신으로 위장한 악성파일이 발견되었다. 해당 악성파일은 DDoS 공격 기능을 가지고 있지는 않은 것으로 알려졌으나, 사회적 이슈를 악용한 사회공학 기법의 악성파일이 다시금 등장하면서 DDoS와 관련해 추가적인 피해가 예상되고 있다.

[주의] 알약 DDoS 전용백신 위장 개인정보 유출 악성코드 등장
http://www.boannews.com/media/view.asp?idx=25143&kind=0

2. 감염 경로 및 증상

해당 악성파일은 국내 유명 포털 사이트의 카페 등을 통해 유포된 것으로 알려졌으며, 경우에 따라 DDoS 관련 이슈를 악용해 이메일의 첨부파일이나 메신저, SNS(Social Network Service) 등의 링크를 통해 유포될 수 있다.


위 그림과 같이 국내 백신사의 아이콘을 도용해 일반 사용자들은 쉽게 현혹될 수 있다. 또한, 해당 백신사의 디지털 서명을 사용한 것으로 알려졌으며, 아래의 그림과 같이 디지털 서명이 존재하지 않는 변종이 발견된 것으로 미루어 보아 지속적인 변종 제작 및 유포가 시도될 수 있다.

위 그림을 살펴보면 국내 백신사의 아이콘을 도용하면서 파일 내부적으로 공급자가 "Microsoft Corporation"으로 지정되어 있는 것이 특징이다.

해당 악성파일에 감염되면 아래와 같은 추가적인 악성파일들을 생성한다.

※ 생성파일

  - (윈도우 시스템 폴더)\inpleqlxa.exe (179,181 바이트)
  - (사용자 계정 폴더)\Temp\(7~8자리 임의의 숫자)_lang.dll (125,570 바이트)

또한, 아래와 같이 레지스트리 값을 등록하여 생성된 악성파일이 위도우 시작시 마다 실행될 수 있도록 한다. 

※ 레지스트리 생성 값

  - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\해당 CLSID]
  - 값 이름 : "stubpath"
  - 값 데이터 : (윈도우 시스템 폴더)\inldtepix.exe

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정) 이다.

현재 해당 악성파일은 DDoS와 같은 증상은 나타나지 않고 있다. 키로깅 등을 이용해 최종적으로 계정 정보 탈취 등의 동작을 수행하려는 것으로 추정되고 있으며, 현재 정밀분석이 진행중이다.

3. 예방 조치 방법

현재 DDoS가 사회적으로 이슈가 되고있는 만큼 신뢰할 수 있는 출처에서 제공된 정보를 선별적으로 접하는 습관이 중요하다. 또한, 해당 악성파일로 부터 안전하게 PC를 사용하기 위해 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화 하고, ▶메신저, SNS 등을 통한 링크 접속에 주의를 기울여야 한다. 마지막으로 무엇보다 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 중요하다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

일명 "파리떼(?)"라는 별칭으로도 국내에 조금씩 알려져 있는 Parite(패리티) 라는 정식 이름의 바이러스는 2001년 10월 경부터 보고되기 시작했으며, 다양한 변형이 존재하는 실행 파일 감염형 바이러스이다. 약 9년 전에 발견된 구형 바이러스라는 점에서 새로운 위협의 범위에 포함되지는 않지만, 바이러스 생존율 기간이 길게 유지되고 있다는 점에서 주목해야 한다.


또한, 얼마전 일부 국산 인터넷 광고성 프로그램에 Parite 바이러스 변종이 감염된 채 모듈이 배포되면서 국내 감염자가 급격히 증가하고 있는 추세를 보이고 있어, 각별한 주의가 요망되고 있다.

이 바이러스는 윈도우 실행파일(PE형식)인 .EXE, .SCR 등의 확장자를 찾아 감염시키지만, 윈도우 폴더에 존재하는 Explorer.exe 는 감염되지 않으며, 윈도우 임시폴더 경로에 "임의의 파일명.TMP" 파일을 생성하여 실행 중인 Explorer.exe 와 연동시켜 바이러스가 지속적으로 실행되도록 만든다.

특히, 스스로 동일 네트워크 구역에서 읽기 및 쓰기가 가능한 공유 폴더를 검색하고, 공유된 경로에서 감염 대상 파일을 찾아 지속적인 자가 전파를 시도하기 때문에 공유된 네트워크에서는 가급적 쓰기 권한을 해제하는 것이 무엇보다 중요하다.

Parite 바이러스에 감염된 사용자들이 대체로 "▶ 최신 Anti-Virus 프로그램으로 전체 검사를 해도 곧 다시 발견(?)"된다라는 호소를 하시는 경우가 꾸준히 많은데, 이는 다음과 같은 조건이 성립되지 않아서 발생하는 경우가 많다. 따라서, 다음과 같은 방식으로 진행하면 깨끗하게 치료가 가능하다.

1. 네트워크 공유 폴더(쓰기권한) 해제
- 공유된 네트워크 중에 쓰기 권한이 부여된 폴더나 드라이브가 있다면 모두 해제한다.

2. 이동식 저장 드라이브 검사 대상 포함
- 이동식 저장매체(예:USB드라이브, SD Card, 외장HDD) 등을 사용하는 경우 감염된 파일이 존재할 수 있으므로, 모두 연결한다.

3. 전체 로컬 디스크 및 모든 파일 검사 설정
- nProtect Anti-Virus 프로그램을 최신으로 업데이트한 상태에서 "전체 디스크 드라이브"의 "모든 파일"을 검사하도록 설정한다.

nProtect Anti-Virus 무료 다운로드 및 사용법 => http://erteam.nprotect.com/16


4. 전체 검사 수행
- nProtect Anti-Virus 첫 화면 중 "바이러스/스파이웨어" 메뉴에서 [검사] -> [전체 검사(모든 논리적 드라이브)]를 선택하고, "검사 시작" 버튼을 누른다. 


5. 검사 -> 치료 과정 중 별도 작업 수행 금지
- 전체 검사가 완료되고, 발견된 바이러스가 있을 경우 전체 치료 버튼을 클릭하여 치료를 진행하면 된다. 여기서 가장 주의할 점은 치료 버튼을 누른 후에 절대로 다른 컴퓨터 작업을 수행하면 안된다. 치료하는 과정 중에 치료가 이미 완료된 파일을 사용자의 부주의로 인하여 재감염시키는 현상이 발생하는 경우가 많기 때문이다.

* 전체 검사의 경우 시스템에 존재하는 모든 파일의 검사가 수행되기 때문에 사용자의 컴퓨터 조건에 따라 수 분에서 수 시간의 시간이 소요될 수 있다.

6. 치료 완료 후 재부팅 및 재검사 수행
- 전체 검사 및 치료가 완료되면 즉시 재부팅을 하고, 다시 한번 재검사 등을 선택적(기본/전체/사용자지정)으로 수행하여 혹시 바이러스에 감염된 파일이 잔존하고 있지는 않은지 검증해 보는 절차를 가져보는 것이 좋겠다.

마지막으로 Parite 바이러스만 전용으로 탐지하고 치료할 수 있는 "무료 전용백신"을 활용해 보는 것도 좋다.


http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=291

전용백신 사용시 주의사항 입니다. 전용백신 사용 전에 반드시 확인하시기 바랍니다.

nProtect Anti-Virus for Trojan/W32.Parite
- 전용백신 사용시에는 반드시 사용하고 계신 각종 Anti-Virus 프로그램의 실시간 감시 기능을 Off 하신 후에 사용하셔야 합니다.
- 전용백신은 예방 기능이 제공되지 않으므로, 치료 후 반드시 실시간 감시 기능과 같은 예방기능이 제공되는 보안 프로그램을 설치하여 동일한 악성코드에 재 감염되는 일이 없도록 해야 합니다.(운영체제 보안취약점 패치도 필수)
- 전용백신 실행 중 다른 응용 프로그램의 실행은 피해주시기 바랍니다.
- 전용백신은 특수 악성코드에 대한 시스템 검사 및 치료 기능이외에 다른 기능은 제공하지 않습니다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect