분석 정보/악성코드 분석 정보

알약 위장 악성파일 발견 주의 필요!

TACHYON & ISARC 2011. 5. 4. 10:51

1. 개 요


ESTsoft에서 제공중인 무료 백신 알약으로 위장한 악성파일이 등장하여 사용자들의 주의를 필요로 하고 있다. 해당 악성파일은 알약과 유사한 아이콘 및 디스크립션(설명)을 가지고 있어 일반 사용자의 경우 쉽게 현혹될 수 있으므로, 이번 글을 통해 해당 악성파일을 살펴보고 혹여, 발생할 수 있는 피해에 대비해 미리 예방할 수 있는 시간을 가져볼 수 있도록 하자.

참고적으로 금년 상반기 최고의 보안 이슈였던 3.3 DDoS 기간 때도 알약으로 위장한 악성파일이 출현하여 이슈가 되었던 전례가 있었다.

  

[국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장]
http://erteam.nprotect.com/134
  

3.3 DDoS 당시 발견되었던 알약 위장 악성파일의 경우 DDoS기능은 존재하지 않았으나 이번에 발견된 알약 위장 악성파일의 경우는 DDoS 기능을 포함 하고 있어 더욱 주의가 필요하다.

2. 감염 경로 및 증상

우선, 이번에 발견된 알약으로 위장한 악성파일은 아래의 그림과 같은 URL에서 유포되는 것으로 알려졌으나, 이메일의 첨부파일 형태로도 유포될 수 있다.

※ 알약 위장 악성파일 유포 경로(현재는 해당 URL에서 다운로드 되지 않고 있다.)
  - http://(생략).info/(생략)/100.exe

해당 URL은 그 유포지가 영국으로 확인되었으며, 내부 디스크립션(설명)이 한글로 되어있는 것으로 미루어보아 국내 상황을 파악하고 있는 악성파일 제작자가 영국의 IP를 유포지로 선택하여 사용하였음을 추측할 수 있다.
  


  

해당 악성파일을 다운로드 한 후 실행하게 되면 자신에 대한 삭제와 동시에 복사본을 아래와 같은 경로에 생성하며, 레지스트리 등록을 통해 윈도우와 함께 지속적인 실행이 가능하도록 구성하게 된다.

※ 생성 파일
  - C:\Documents and Settings\explorerere.exe (52,224 바이트)

※ 레지스트리 값 등록
  - [HKLM\SYSTEM\CurrentControlSet\Services\zvwerqt]
  - 값 이름 : ImagePath
  - 값 데이터 : "C:\Documents and Settings\explorerere.exe"


생성된 복사본은 아래의 URL에 지속적인 접속을 시도하여, 향후 추가적인 악성파일을 다운로드할 수 있다. 또한, 생성된 악성파일이 서비스단에 등록되어 Backdoor 및 일종의 Bot기능을 수행할 수 있을 것으로 추정되며, 현재 추가적인 증상 파악을 위한 분석이 진행되고 있다.

특징을 살펴보면 알약의 아이콘 뿐만 아니라 디스크립션(설명) 부분까지 도용하고 있다는 점이며, 자세히 살펴보면 정상 디스크립션(설명) 부분과 구분할 수 있는 차이점이 존재한다.

                                  < 악성 파일 >                                                            < 정상 파일 >

위 그림의 적색박스 부분을 살펴보면 악성파일과 정상파일간 "설명 :" 부분에서 아래와 같은 차이점을 보이고 있다.

※ 차이점
  - 정상 파일 : 알약 제품의 모듈 기능에 대한 설명 기술
  - 악성 파일 : 알약 제품에 대한 설명 기술


또한, 아래의 그림과 같이 DDoS 공격 기법중 하나인 "GET Flooding" 기법을 통해 지속적으로 특정 대상지에 GET Packet을 전송할 수 있다.


3. 예방 조치 방법

위와 같이 국내에서 많은 사용자를 가지는 프로그램으로 위장한 악성파일의 경우 일반 사용자들은 별다른 의심없이 다운로드 및 실행을 할 수 있다. 때문에 일단 유포가 이루어지면 감염이 쉬우며, 경우에 따라서 수많은 좀비 PC를 양산해 낼 수도 있으므로 사용자들은 아래와 같은 보안 관리 수칙을 준수하여 안전한 PC 사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램 등의 최신 보안 패치 생활화

2. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드 자제

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 반드시 설치하고 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON"상태로 유지해 사용한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.



 

저작자표시

'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글

YouTube로 위장한 사이트에서 유포 중인 악성파일 발견  (0) 2011.05.11
[주의] 미국 연방수사국(FBI)에서 보낸 내용으로 위장된 악성파일  (0) 2011.05.10
국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장  (0) 2011.03.07
2011년 3월 3일 국내 주요 웹 사이트 DDoS 공격 발생  (3) 2011.03.06
웹하드 서비스 홈페이지들 악성파일 전파 경유지 악용 주의  (3) 2011.03.05

'분석 정보/악성코드 분석 정보'의 다른글

  • 현재글알약 위장 악성파일 발견 주의 필요!

관련글

댓글

티스토리툴바