분석 정보/악성코드 분석 정보

[주의]대용량 성인동영상으로 둔갑한 Fusion 악성파일 당신을 노린다.

TACHYON & ISARC 2012. 8. 6. 17:00
1. 개요


잉카인터넷 대응팀은 국내에서 서비스 중인 웹하드 사이트들을 통해서 악의적인 등록자들이 웹 사이트 관리자와 이용자들 몰래 "성인 음란 동영상"으로 둔갑시킨 악성파일을 은밀히 유포하고 있는 정황을 포착하고, 꾸준히 모니터링과 대응상태를 유지하고 있다. 웹하드 서비스를 통해서 배포되는 파일의 경우 보통의 보안업체가 꾸준히 관제를 하기에는 쉽지 않은 영역이기 때문에 악성파일 유포자들은 이점을 노리고 있지만, 잉카인터넷 대응팀은 웹하드 서비스를 통해서 배포되는 악성파일을 [상시 모니터링 체계로 구축]하여 운영하고 있다. 아울러 유포자들도 이런 보안 감시망에 노출되지 않기 위해서 점차 지능화, 다양화 방식을 도입하여 사용자 몰래 악성파일을 설치 시도하는데 많은 노력을 기울이고 있는 상태이다.

이번에 새롭게 발견된 악성파일은 약 1.5GB 크기의 대용량 성인 동영상 파일로 위장하고 있는 것이 특징이고, 기존과 마찬가지로 실제 성인 동영상파일과 악성파일이 퓨전으로 섞여 있는 상태로 배포되었다.


2. 악성파일 전파 방식

[주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다.
http://erteam.nprotect.com/254

[주의]성인 동영상으로 위장한 악성파일 기승!
http://erteam.nprotect.com/268

일종의 파일 공유 서비스인 웹하드 사이트를 통해서 악성파일을 전파시키는 수법은 사실 매우 고전적이며, 오래된 방식 중에 하나이다. 그러나 많은 보안업체들이 주/야간 실시간으로 등록되는 모든 (유료용)파일을 모니터링하고 분석하기에는 한계가 있는 것도 사실이다.

그렇기 때문에 공공연히 악성파일을 배포하는 유포지로 악용되는 사례가 많은 편이다. 이런 문제 때문에 잉카인터넷 대응팀은 악성파일 유포지로 전락하는 것을 조기에 차단하고 감염 확산방지를 위한 노력의 일환으로 웹하드 유포형 악성파일 대응 전략을 수립하고 이상징후를 예의주시 중이다.

최근에 새롭게 발견된 형태는 [일본 유명 성인배우의 최신작 긴급입수]라는 내용으로 사용자를 현혹하여 다운로드를 유도하고, 동영상을 설치하는 과정처럼 화면을 보여주면서 사용자 몰래 악성파일을 설치하는 수법을 사용하였다.


해당 악성파일은 먼저 상기 화면과 같이 음란수위가 높은 게시글을 통해서 (유료)이용자들의 다운로드를 유도하게 되며, 정상적인 동영상처럼 보이도록 하기 위해서 약 1.5GB 크기의 실제 대용량 동영상파일을 함께 사용하였다.

이용자가 해당 파일을 다운로드하기 전에 확장자가 EXE 라는 점을 눈여겨 보고, 정상적인 동영상 확장자(AVI, WMV 등)가 아니라는 점에서 악성여부를 의심한다면 사전에 충분히 예방하는 효과를 거둘 수도 있다.


다운로드가 완료된 해당 파일을 사용자가 클릭하게 되면 정상적인 동영상처럼 보이도록 하기 위한 조작된 설치과정을 보여준다.

일반적으로 웹하드에서 배포되는 정상적인 동영상 파일은 아래와 같이 별도의 설치(Install) 과정을 거치지 않고, 바로 동영상 프로그램으로 재생이 가능한 AVI, WMV, MP4 등의 확장자를 가지고 있다는 점을 명심하면 좋겠다.


실제 정상적인 WMV 동영상파일을 설치하는 과정을 보여주는 동시에 사용자 모르게 컴퓨터에는 또 다른 악성파일이 함께 설치된다. 악성파일 유포자는 이렇듯 정상적인 동영상파일과 악성파일을 복합적으로 묶어서 사용자가 인지하기 어려운 환경을 만들고 마치 정상적으로 필요한 설치과정처럼 보이도록 하게 만든 후에 악성파일을 설치하는 수법을 이용하고 있는 것이다.

악성파일이 감염되면 시스템폴더 경로에 "csrvs" 이름의 폴더를 생성하고 내부에 " csrvs.exe", "csrvc.exe" 파일명의 악성파일 2종을 설치한다. 해당 악성파일들은 국내 특정 사이트로 접속을 시도하고, 홍보글 등록 등을 시도한다.


3. 마무리

국내 웹하드 서비스를 통해서 특화화된 악성파일이 꾸준히 전파되고 있다. 대체적으로 확장자를 EXE 또는 ZIP 으로 만들어서 유포하는 경우가 많다는 점을 유념하고, 다운로드 전에 동영상 파일의 확장자를 육안으로 살펴보는 습관도 중요하다.

잉카인터넷 대응팀은 웹하드 서비스를 통해서 사용자 몰래 전파를 시도하는 다양한 악성파일을 지속적으로 수집하여 nProtect Anti-Virus 제품군에 탐지 및 치료 기능을 추가하고 있다. 따라서 nProtect 제품군 이용자들은 최신 버전으로 항시 유지하고 실시간 감시 기능을 활성화하면 악성파일이 컴퓨터에 유입되는 것을 사전에 차단하고 예방효과를 거둘 수 있다.

상기에서 공개한 웹하드 경로를 통한 악성파일 유포 사례는 극히 일부이며, 실제로는 매우 다양하고 폭 넓은 범위에서 악성파일이 유포되고 있다는 점을 명심하도록 하며, 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다. 

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/