[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!

1. 개 요

잉카인터넷 대응팀에서는 국방관련 주요 문서 파일로 위장하여, 추가적인 악성파일에 대한 유포를 시도하는 한글 취약점 관련 악성파일을 발견하였다. 해당 악성파일은 감염 시 정상적인 문서파일을 함께 출력하기 때문에 일반 사용자의 경우 감염 여부에 대한 판단을 육안으로 내리기가 힘들며, 감염 시 다른 추가적인 악성 동작이 있을 수 있으므로 사용자들의 각별한 주의를 요망하고 있다.

2. 감염 증상

해당 악성파일은 감염 시 아래의 그림과 같이 정상적인 국방 관련 문서파일을 출력하게 된다.
 

또한, 이와 동시에 아래의 그림과 같은 추가적인 악성파일들을 특정 경로에 생성하게 된다.

 

※ 파일생성

- (사용자 임시 폴더)\scvhost.exe (130,048 바이트)
- (루트 드라이버)\tesdn.dat (78,336 바이트, scvhost.exe가 생성)

☞ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp을 의미한다.
☞ (루트 드라이버)란 일반적으로 C:\ 드라이버를 의미한다.

위 그림과 같이 추가적으로 생성된 악성파일(scvhost.exe)이 실행되면, 특정 경로에 이름이 변경된 dll 파일(tesdn.dat)이 함께 생성되며, 해당 악성파일은 아래의 일부 코드를 통해 인터넷 사용가능 여부 체크 및 원격지로부터 추가적인 악성파일에 대한 다운로드를 수행하는 등의 악성 동작을 수행할 수 있다.

3. 예방 조치 방법

위와 같이 정상적인 문서 파일로 위장한 악성파일의 경우 일반 사용자들을 현혹하여 악성파일에 대한 실행 및 다운로드 등을 유도할 수 있으며, 이를 이용해 악의적인 코드의 실행을 수행하게 된다. 더욱이 위와 같이 관심을 가질만한 문서 내용으로 위장할 경우에는 유포 및 감염에 대한 파급효과가 상당히 커질 수 있으므로 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/