국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장

1. 개 요

최근 사회적으로 이슈가 되고있는 DDoS와 관련해 국내 특정 백신사의 전용백신으로 위장한 악성파일이 발견되었다. 해당 악성파일은 DDoS 공격 기능을 가지고 있지는 않은 것으로 알려졌으나, 사회적 이슈를 악용한 사회공학 기법의 악성파일이 다시금 등장하면서 DDoS와 관련해 추가적인 피해가 예상되고 있다.

[주의] 알약 DDoS 전용백신 위장 개인정보 유출 악성코드 등장
☞ http://www.boannews.com/media/view.asp?idx=25143&kind=0

2. 감염 경로 및 증상

해당 악성파일은 국내 유명 포털 사이트의 카페 등을 통해 유포된 것으로 알려졌으며, 경우에 따라 DDoS 관련 이슈를 악용해 이메일의 첨부파일이나 메신저, SNS(Social Network Service) 등의 링크를 통해 유포될 수 있다.

위 그림과 같이 국내 백신사의 아이콘을 도용해 일반 사용자들은 쉽게 현혹될 수 있다. 또한, 해당 백신사의 디지털 서명을 사용한 것으로 알려졌으며, 아래의 그림과 같이 디지털 서명이 존재하지 않는 변종이 발견된 것으로 미루어 보아 지속적인 변종 제작 및 유포가 시도될 수 있다.

위 그림을 살펴보면 국내 백신사의 아이콘을 도용하면서 파일 내부적으로 공급자가 "Microsoft Corporation"으로 지정되어 있는 것이 특징이다.

해당 악성파일에 감염되면 아래와 같은 추가적인 악성파일들을 생성한다.

※ 생성파일

  - (윈도우 시스템 폴더)\inpleqlxa.exe (179,181 바이트)
  - (사용자 계정 폴더)\Temp\(7~8자리 임의의 숫자)_lang.dll (125,570 바이트)

또한, 아래와 같이 레지스트리 값을 등록하여 생성된 악성파일이 위도우 시작시 마다 실행될 수 있도록 한다. 

※ 레지스트리 생성 값

  - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\해당 CLSID]
  - 값 이름 : "stubpath"
  - 값 데이터 : (윈도우 시스템 폴더)\inldtepix.exe

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정) 이다.

현재 해당 악성파일은 DDoS와 같은 증상은 나타나지 않고 있다. 키로깅 등을 이용해 최종적으로 계정 정보 탈취 등의 동작을 수행하려는 것으로 추정되고 있으며, 현재 정밀분석이 진행중이다.

3. 예방 조치 방법

현재 DDoS가 사회적으로 이슈가 되고있는 만큼 신뢰할 수 있는 출처에서 제공된 정보를 선별적으로 접하는 습관이 중요하다. 또한, 해당 악성파일로 부터 안전하게 PC를 사용하기 위해 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화 하고, ▶메신저, SNS 등을 통한 링크 접속에 주의를 기울여야 한다. 마지막으로 무엇보다 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 중요하다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.