최신 보안 동향

개인 정보 유출을 목적으로 하는 악성파일의 진화!!

TACHYON & ISARC 2011. 1. 17. 13:25
1. 개요


최근들어 개인정보 유출을 목적으로 하는 악성 파일들이 다양한 유포방식을 통하여 발견 되어지고 있다. 이러한 가운데 윈도우 운영체제의 중요 시스템 파일을 변조 하거나 백신 프로그램  검사 우회, 치료나 삭제시 시스템에 영향을 주는 악성파일들이 발견 되어짐에 따라 사용자들의 각별한 주의와 신속한 대응 전략이 마련 되어져야 할 것으로 보여지고 있다.


2. 감염 방식 및 취약점 정보

2-1. 감염 방식

현재 해당 악성파일은 사용자가 변조되어진 웹 페이지를 열람할 경우 MS 보안 취약점에 노출되어진 컴퓨터에서 악성파일이 실행되어 진다. 최근까지도 발생하고 있는  정상 Comres.dll 변조 악성파일은 인스턴스 메시지나 쪽지 등의 확인되지 않은 URL 접근시 또는, 변조되어진 웹 페이지를 열람 할 경우 감염이 진행되게 된다.


네이트온 악성파일로 잘 알려진 해당 악성파일은 기존의 단일화 되어진 유포방식을 지나 위의 그림처럼 좀더 다양하고 지능화 되어진 방식을 통하여 확산 및 감염이 가능하도록 그 목적을 두고 있다.

2-2. 취약점 정보


이와 같은 악성파일 감염은 최초 보안 취약점에 노출되어진 환경에서 발생할 수 있는 조건을 갖추고 있음으로 아래와 같이 MS 보안 업데이트 적용을 통하여 감염을 미연에 방지할 수 있다.


3. 감염 증상

다운로드 되어진 01.exe와 3.exe 악성파일이 실행되면 아래와 같은 특정 경로에 파일을 생성하게 된다. 또한, 해당 악성파일에 감염되면 정상 운영체제에서 사용되어지는 comres.dll 와 imm32.dll 파일을 변조하게 된다.

[생성파일]

(시스템 폴더)\ComResA.dll
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\nt32.dll.(임의의 영문).tmp
(시스템 폴더)\systemInfo.ini
(시스템 폴더)\systemInfomations.ini

[참고사항]

 - (시스템 폴더)란 일반적으로 C:\WINDOWS\system32 이다.

실제 정상 운영체제에 사용되어지는 Comres.dll 파일이 삭제 되어질 경우 시스템 이상 증상을 유발시킬 수 있기 때문에 백신 프로그램 등을 통하여 변조되어진 파일들을 정상 파일로 복원시켜주는 적절한 과정이 필요하다.

<참고> 파일 사이즈에 따른 정상파일 및 악성파일 구분 방법!!
 
  A. 정상 Comres.dll 파일 
     C:\WINDOWS\system32\comres.dll (16,232 바이트) 

  B. 악성 Comres.dll 파일
     C:\WINDOWS\system32\comres.dll  (7,168 바이트)

3.exe 파일에 의하여 생성되어진 nt32.dll 파일은 아래와 같이 특정 온라인 게임 계정 탈취 목적을 가지고 있다.

Pmang.com
Netmarble.net
Nexon.com
Lineage.plaync.co.kr
Hangame.com

※ 정상 Comres.dll, Imm32.dll 파일과 변조되어진 Comres.dll, Imm32.dll 파일 비교



4. 예방 조치 방법

1. 신뢰할 수 있는 보안 업체에서 제공하는 보안 소프트웨어를 설치하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
3. 윈도우와 같은 OS 및 응용프로그램에 대하여 최신 보안 패치를 적용하도록 한다.

현재 comres.dll 과 imm32.dll 변조 관련 악성파일은 아직까지도 많은 변종이 나타나고 있으며 각기 다른 증상이 발생하고 있다. 이와 같이 시스템 이상 증상이 발생할 경우 AVS2007 상단의 [신고하기] 메뉴를 이용하여 관련 정보를 제공하여 주시면 확인 후 좀더 빠른 대응 및 답변을 드릴 수 있습니다.

※ nProtect ANti-Virus/Spyware 2007 제품으로 진단한 화면