분석 정보/악성코드 분석 정보

[주의]김정일 사진파일처럼 위장한 악성파일 추가 발견 (Update #1)

TACHYON & ISARC 2011. 12. 21. 13:30

1. 개 요 


북한 김정일 국방위원장의 사진파일처럼 위장한 악성파일이 해외에서 유포 중인 것이 잉카인터넷 대응팀 보안관제 중 추가로 발견되었다. 파일의 아이콘과 확장자 등이 정상적인 사진 파일처럼 교묘하게 조작되어 있으며, 실행시 실제 김정일 관련 사진을 보여주고 있어 일반 사용자의 경우 악성파일의 감염 여부를 쉽게 인지하기 어려울 것으로 예측된다. 김정일 사망 이슈와 관련하여 지속적으로 악성파일이 발견되고 있으므로, 인터넷 이용자들의 각별한 주의가 요망된다. 

  


2011년 12월 20일 잉카인터넷 대응팀에서는 국내외로 김정일 사망 이슈와 관련하여 다양한 악성파일이 발견되고 있다는 정보를 신속하게 제공한 바 있는데, 이와 관련하여 새로운 악성파일을 추가로 발견하였다.

이번에 발견된 형태는 악의적인 해커들이 ▶사용자들의 심리를 노려. 김정일과 관련된 사진파일처럼 위장해서 악성파일을 제작해서 배포한 형태로 악성파일에 감염될 경우 ▶또 다른 해킹 위협에 노출될 수 있다.

김정일 사망 관련 허위 정보 클릭 유도 및 악성파일 전파 중
http://erteam.nprotect.com/228

유명 연예인 사생활 동영상 내용으로 악성 파일 전파 중
http://erteam.nprotect.com/221


따라서 당분간 김정일 사망 및 시신공개와 관련하여 이와 같은 다양한 형식의 피싱과 악성파일 전파 수법이 기승을 부릴 것으로 예상되므로, 언론을 통해서 공식적으로 알려진 내용 이외에 조작된 것으로 의심되는 수상한 뉴스나 사진, 동영상, SNS 단축 URL 등을 무심코 열어보지 않도록 하는 것이 중요하다.

특히, 김정일과 관련된 내용의 이메일을 수신할 경우 첨부파일(PDF, DOC, HWP, PPT, ZIP, EXE, SCR 등)이 존재할 경우 악의적인 파일일 가능성이 매우 높다는 점을 인지하고 각별히 주의하는 것이 필요하다.

2. 발견 사례

잉카인터넷 대응팀에서는 김정일 사진과 관련된 내용으로 해외에서 은밀히 유포되고 있는 것으로 추정되는 새로운 악성파일을 김정일 관련 보안 위협 대비차원의 집중 모니터링 중에 추가로 발견하였다.

PDF, DOC 취약점을 이용했던 기존의 악성파일과 다르게 이번에 추가로 발겨된 파일은 김정일 사진파일처럼 교묘하게 위장하는 형태를 가진 것이 특징이다.
 

아이콘은 윈도우OS 의 기본적인 JPG 사진파일용을 사용하고 있으며, 폴더 옵션의 확장자 숨기기 기능이 활성화되어 있을 경우에는 JPG 파일처럼 보이도록 2중 확장자(.jpg.scr)를 가지고 있다. SCR 확장자는 화면보호기용(Screen Saver)으로 사용되는 것으로 일반적으로 실행파일 형태로 사용되고 있기 때문에 실제 EXE 파일을 SCR 로 위장한 형태이다.


또한, 파일명은 김정일을 의미하는 "Kim Jong-il" 을 사용하여 김정일의 사진파일로 생각하도록 만들고 있다.


사용자가 해당 파일을 사진파일로 오해하고 실행할 경우에는 다음과 같이 악성파일에 감염되게 된다.

첫번째로 Application Data 폴더에 Update.exe 라는 악성파일을 숨김속성으로 몰래 생성하며, Kim Jong-il.jpg.scr 악성파일이 실행된 동일 경로에 실제 김정일 사진파일인 Kim Jong-il.jpg 파일을 생성하고 실행한다.



그리고 시작 프로그램 경로에 MSN Talk Start.lnk 바로가기 파일을 생성하여, 재부팅할 때마다 악성파일인 Update.exe 파일이 자동으로 실행되도록 만들고, 처음 실행되었던 Kim Jong-il.jpg.scr 파일을 스스로 삭제하여 악성파일이 아닌 것처럼 보이도록 만든다.


악성파일은 특정 호스트로 접속을 시도하며, 공격자의 원격지 추가 명령에 따라서 휴지통(Recycler) 폴더에 Kserver.exe, kserver.dll 등의 악성파일을 은밀히 추가로 설치한다.

이러한 악성파일은 원격제어가 가능한 Backdoor Server 파일들로서, 공격자는 감염된 컴퓨터의 모든 관리자 권한을 불법적으로 획득할 수 있으며, 사용자의 정보 유출 및 감시가 가능하게 된다.


■ Update 2011. 12. 21

The Death of North Korea's Kim Jong Il.pdf
라는 PDF 취약점을 이용하는 변종 악성파일이 추가 발견되어, nProtect Anti-Virus 제품에 진단/치료 기능이 추가되었다.


3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 김정일과 관련된 사진내용으로 위장된 파일을 무심코 실행하지 않도록 하며, 보안 취약점을 통해서 전파를 시킬 수 있으므로 최신 보안 패치를 설치하는 것도 중요하다. 별도로 아래와 같은 기본적인 보안관리 수칙을 준수하여 이와 같은 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

[보안 관리 수칙]

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 출처가 불분명한
이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자제하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는
백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4.
인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.


※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.