최신 보안 동향

[정보]2012 런던 올림픽 경기 일정표로 위장한 악성파일 주의!

TACHYON & ISARC 2012. 8. 2. 16:25

1.  개 요


2012 런던 올림픽 대회가 개최되며, 전세계의 이목이 올림픽에 집중되고 있다. 전세계 각국을 대표하는 선수들이 참가하여 열전을 벌이고 관심을 높여가고 있는 가운데 역시나 올림픽 관련 스케쥴표로 위장한 악성파일이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 PDF 형식의 파일로 폰트 관련 취약점을 악용하여 악성파일을 유포하고 있으며, 감염 시 정상적인 올림픽 스케쥴표가 출력되어 일반 사용자들의 경우 감염 사실을 인지하기가 매우 어려운 것이 특징이라고 할 수 있다.

  

2. 유포 경로 및 감염 증상

해당 악성파일은 2012 런던 올림픽 경기 일정표로 위장되어 이메일의 첨부파일 혹은 SNS, 메신저 등의 링크 접속을 통해 유포가 이루어질 수 있다. 또한, 폰트 관련 PDF 취약점을 악용하고 있으며, 영향을 받는 버전은 아래와 같다.

※ 영향을 받을 수 있는 버전

- Adobe Reader 9.3.4 이전 버전
- Adobe Acrobat 9.3.4 이전 버전

해당 악성파일의 경우 PDF 내부에 암호화 되어 있는 TTF(TrueTypeFont) 스트림의 특정 테이블을 통해 스택오버플로우를 일으키는 취약점이 악용되었으며, 아래의 그림은 스택오버플로우를 유발할 수 있는 코드의 일부이다.

위와 같은 취약점이 유효할 수 있는 응용 프로그램을 사용하여 해당 악성파일이 실행될 경우 사용자가 감염사실을 의심하지 않도록 하기 위해 아래의 그림과 같이 정상적인 2012 런던 올림픽 스케쥴표가 화면상에 출력될 수 있다.

또한, 내부에 포함하고 있는 추가적인 악성파일을 아래와 같은 경로에 생성하게 된다.

※ 생성 파일

- (사용자 임시 폴더)\~temqp.tmp (53,248 바이트)
- (사용자 임시 폴더)\explorer.exe (53,248 바이트)
- (사용자 임시 폴더)\~vmdmc.exe (484,864 바이트, 정상 cmd.exe 복사본)

※ 레지스트리 값 등록

- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 이 름 : "arun"
- 데이터 : "(사용자 임시 폴더)\explorer.exe"

※ (사용자 임시 폴더)란 일반적으로 "C\Documents and Settings\(사용자 계정)\Local Settings\Temp"를 말한다.

위와 같이 추가적으로 생성되는 악성파일들은 아래의 그림과 같이 WORD 문서 파일 아이콘으로 위장되어 있다.

또한, 해당 악성파일은 아래의 일부 코드와 같이 중국내에 소재하는 특정 외부 사이트에 지속적인 접속을 시도하나 현재는 정상적인 접속이 되지 않고 있다.

3. 예방 조치 방법

위와 같이 취약점을 악용하는 악성파일의 경우 사전 예방이 매우 어렵다는 특징을 가진다. 거기에 더해 국/내외 적으로 현재 큰 이슈가 되고 있는 런던 올림픽과 같은 행사와 관련해 사회공학적 기법 또한 악용된다면 일반 사용자의 경우 철저한 보안의식에 대한 함양 없이는 안전한 PC 사용을 유지하기가 어려울 수 있다.

때문에 사용중인 응용프로그램에 대한 철저한 보안 패치와 함께 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력을 기울이는 것이 안전한 PC 사용을 위한 최선의 방법이라 할 수 있을 것이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 내역

- Trojan/W32.Agent.53248.CYM
- Trojan-Exploit/W32.Pidief.291556.JVF
- Trojan/W32.Agent.53248.DDR