리비아 반정부 시위 사태 관련 정보제공 사이트, 악성파일 유포 주의

1. 개 요

최근 국제적으로 이슈가 되고 있는 리비아 반정부 시위 사태와 관련해 사회공학 기법을 이용한 악성파일 유포가 이루어지는 것으로 알려져 사용자들의 주의가 요구되고 있다. 일본의 지진 사태와 같은 굵직한 사회/국제적 이슈는 이제 악성파일 제작자 등을 포함한 사이버 범죄자들의 가장 좋은 범죄 수단으로 악용되고 있는 만큼 이번 글을 통해 관련 내용에 대해 살펴보고 피해를 입지 않도록 사전에 대처할 수 있는 시간을 가져보도록 하자.

[참고 : Online criminals bring the Libyan conflict to your computer]

☞ http://blogs.paretologic.com/malwarediaries/index.php/2011/04/01/online-criminals-bring-the-libyan-conflict-to-your-computer/

2. 악성파일 유포 경로 및 감염 증상

아래와 같은 특정 사이트의 도메인은 최근 만들어진 것으로 보고되고 있으며, 접속하게 되면 리비아 사태와 관련한 정보들이 제공되고 있는 화면을 볼 수 있다.

해당 사이트는 대부분의 정보들을 신뢰할 수 있는 기관들의 링크형식을 통해 정상적인 방법으로 제공하고 있다. 다만, 접속 시 자바 애플릿을 통해 아래와 같은 추가적인 악성파일을 다운로드 할 수 있다.

※ 다운로드 파일

  - FreeLibya.jar (2,762 바이트)

파일명 또한, 리비아와 관련 있는 파일명으로 되어 있어 다운로드 및 실행 시 사용자들이 쉽게 현혹될 수 있다. 다만, 사용자들의 PC에 자바 JDK 설치 여부에 따라 아래의 그림과 같은 화면을 볼 수 있으며, 해당 jar 파일에 대한 다운로드가 불가능할 수 있다.

◆ 자바 JDK 미설치 시

◆ 자바 JDK 설치 시

위의 과정을 통해 다운로드된 jar 파일이 실행되면, 내부의 class 파일에 코딩된 자바 코드에 따라 아래와 같은 추가적인 악성파일(javaclient.exe)을 다운로드 하게 된다.

위의 과정을 통해 추가적으로 다운로드된 악성파일(javaclient.exe)이 실행되면 아래와 같이 자신의 복사본을 특정 경로에 생성하게 되며, 레지스트리 값 등록을 통해 윈도우 부팅 시 마다 악성파일이 동작할 수 있도록 한다.

※ 생성파일

  - (사용자 임시 폴더)\svc21host.exe (1,130,496 바이트)

※ 레지스트리 생성

  - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  - 이   름 : svc21host
  - 데이터 : (사용자 임시 폴더)\svc21host.exe

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.

또한 아래의 그림과 같이 지속적으로 특정 외부 사이트와 접속 상태를 유지하며, 최종적으로 봇넷 PC가 될 수 있다.

3. 예방 조치 방법

사회/국제적 이슈에 대한 정보는 모든 사람들이 관심을 가질 수 밖에 없다. 악성파일 제작자 등을 포함한 사이버 범죄자들은 사람들의 이러한 심리를 악용하기 때문에 사회공학 기법을 이용한 악성파일 유포 등의 사이버 범죄가 지속적으로 늘어나고 있는 추세이다.

위와 같은 보안 위협으로부터 안전하기 위해서는 무엇보다 사용자들이 이러한 사회공학 기법의 사이버 범죄 발생 추이에 대해 관심을 가질 필요가 있으며, ▶윈도우와 같은 OS, 각종 응용 프로그램의 최신 보안패치, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 항상 "ON" 상태로 유지하여 사용하는 등의 기본 보안 수칙을 함께 준수하는 것이 최선의 방법이 될 것이다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일을 최신 엔진 및 패턴 버전을 통해 하기와 같이 진단/치료 기능을 제공하고 있으며, 이와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.