분석 정보/악성코드 분석 정보

[주의]김정일 여동생 김경희 사진으로 가장한 악성파일 발견

TACHYON & ISARC 2011. 12. 22. 08:09

1. 개 요 


잉카인터넷 대응팀은 2011년 11월 21일 북한 김정일 국방위원장의 사진파일처럼 위장한 악성파일이 해외에서 유포 중인 것을 발견하여 주의를 당부한 바 있다. 국가별 시차로 인해서 글로벌 타깃으로 유포 중인 악성파일을 초기 대응하기 위해서 잉카인터넷은 현재 24시간 철야 비상 관제를 강화하고 있는 중이다. 그런 와중에 "22일 새벽 4시경 김정일의 여동생이며, 북한 최고인민회의 대의원으로 알려져 있는 김경희의 사진으로 위장한 악성파일이 해외에서 유포 중인 것이 추가로 발견"되었으므로, 유사 내용을 목격시 각별한 주의가 요구된다.

  


이 악성파일의 경우도 실행이 되면 정상적인 김경희 사진을 출력하며, 사용자 몰래 악성파일을 추가로 설치하는 형태를 띄고 있다. 김정일 사망 이슈와 관련하여 여동생 등 다양한 내용들로 악성파일이 끊임없이 발견되고 있으므로, 인터넷 이용자들은 이러한 부분에 좀더 각별한 주의가 요망된다.

참고로 잉카인터넷 시큐리티 대응센터 대응팀은 기존에 알려졌던 악성파일의 코드를 부분적으로 변형한 유사 변종들을 다수 발견한 상태인데, 공격자들은 자신이 만든 악성파일이 Anti-Virus 제품 등에서 탐지되는 것을 우회하기 위해서 꾸준히 변종을 제작하여 유포를 시도하는 것으로 추정된다.

김경희 사진 사칭형 악성파일 이외에 2011년 12월 22일 새벽 4시 경에는 ZIP 압축파일 형태로 존재하며, 내부에 김정일 죽음과 관련된 영문 내용의 PDF 문서파일처럼 위장한 또 다른 악성파일 형태도 발견하여 긴급 대응을 함께 진행하고 있는 상태이다.

김경희 사진 위장 악성파일외에 추가로 발견된 PDF 위장 형태 악성파일


이번에 김경희 사진처럼 가짜로 위장한 형태는 악의적인 해커들이 사회공학적 기법과 더불어 사회심리학적 기법을 부수적으로 활용해 김정일 사망과 관련하여 김경희 사진에도 관심을 가질 수 있다는 점을 심리적으로 노린 점이 특징이다. 이러한 종류의 악성파일에 감염될 경우에는 악의적인 해커에게 원격제어 등을 통해서 ▶또 다른 해킹 위협에 노출될 수 있다.

김정일 사진파일처럼 위장한 악성파일 추가 발견
http://erteam.nprotect.com/229

김정일 사망 관련 허위 정보 클릭 유도 및 악성파일 전파 중
http://erteam.nprotect.com/228

유명 연예인 사생활 동영상 내용으로 악성 파일 전파 중
http://erteam.nprotect.com/221


지속적으로 김정일과 관련된 악성파일이 등장하고 있고, 의외로 가족 등과 관련된 내용도 전파된 것이 확인되었으므로, 이러한 점에 쉽게 현혹되지 않도록 하는 노력이 필요할 것으로 보여진다. 이와 같이 당분간 다양한 형식의 피싱이나 이메일 첨부파일 등을 이용한 악성파일 전파 수법이 기승을 부릴 것으로 예상되므로, 언론 등을 통해서 공식적으로 확인된 내용 이외에 조작되었을 가능성이 높은 수상한 뉴스나 사진, 동영상 링크, SNS 단축 URL 등을 무심코 열어보지 않도록 하는 것이 중요하다.

2011년 12월 20일 이메일 악성 첨부파일 유포 사례


특히, 위의 사례와 같이 김정일과 관련된 내용의 이메일을 수신할 경우 첨부파일(PDF, DOC, HWP, PPT, ZIP, EXE, SCR 등)이 존재할 경우 악의적인 파일일 가능성이 매우 높다는 점을 인지하고 세심하게 살펴보는 것이 필요하다.

2. 김경희 사진 파일 사칭 사례

잉카인터넷 대응팀에서는 김정일 여동생으로 알려져 있는 김경희 사진과 관련된 내용으로 해외에서 은밀히 유포되고 있는 것으로 추정되는 새로운 악성파일을 김정일 관련 보안 위협 대비차원의 집중 모니터링 중에 추가로 발견하였다.

김경희 사진(또는 화면보호기) 파일처럼 가장한 "Kim Kyung-hee.scr" 악성파일이 실행되면 다음과 같이 TEMP 폴더에 Kim Kyung-hee.jpg 라는 정상적인 실제 사진파일과 msrt.exe 파일이 생성되고 자동으로 실행된다. 


msrt.exe 는 자동압축해제(Self-extracting RAR)가 가능한 형태이며, 실행이 되면 Local Settings 폴더에 wship6.tmp, server.exe 파일의 압축을 해제하여 실행하고 server.exe 파일을 chksrv.exe 라는 파일명으로 변환시킨 후 악성파일을 사용자 몰래 함께 설치하고 실행시킨다.


사용자의 컴퓨터 화면에는 아래와 같이 실제 김경희 사진파일(Kim Kyung-hee.jpg)을 실행해서 보여주기 때문에, 사용자는 자신이 실행한 파일이 정상적인 파일로 착각할 수 있다.


3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 김정일이나 가족친지 등과 관련된 다양한 사진내용으로 위장된 파일을 무심코 실행하지 않도록 하며, 보안 취약점을 통해서 전파를 시킬 수 있으므로 최신 보안 패치를 설치하는 것도 중요하다. 별도로 아래와 같은 기본적인 보안관리 수칙을 준수하여 이와 같은 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

[보안 관리 수칙]

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 출처가 불분명한
이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자제하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는
백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4.
인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.


※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.