최신 보안 동향

Bredolab, Palevo 악성파일 감염 주의

TACHYON & ISARC 2010. 10. 12. 16:54

일명 "Bredolab" 과 "Palevo" 이름 등으로 널리 알려져 있고, 수 많은 변종이 등장하고 있는 악성코드들이 최근 Multi Downloader 기능 등을 탑재하여 다양한 형태의 공격과 피해를 유발시키고 있어, 설연휴 기간 동안 컴퓨터 사용자들의 각별한 주의가 요구된다.

특히, 다량의 악성코드(Win32.Polip.A 등)에 노출되면서 감염 정도가 매우 심각(파일 손상)한 경우 시스템이 매우 불안정하게되고, 감염 정도에 따라 예기치 못한 오류 증상이나 정상적인 부팅이 진행되지 못하는 큰 피해를 입을 수도 있다.

최근 일부 기업과 개인 사용자들을 중심으로 네트워크의 트래픽이 과도하게 발생(시스템 리소스 감소)한다는 피해 사례 및 상담 접수 등이 증가하고 있는데, 이것은 Bredolab 형태의 악성코드가 가지고 있는 대표적인 감염 증상 중에 하나이며, 악성코드가 다량의 SPAM Mail 발송 시도 등의 과정 중에 나타나는 부작용이다.


악성코드가 컴퓨터에 유입되어 실행(감염)되면 다수의 사이트로 접속을 시도하고, 또 다른 악성코드 파일들을 다량으로 다운로드하여 추가 감염을 시키게 된다.

아래 그림은 악성코드가 접속을 시도하는 다양한 URL 주소들 중 일부를 저장한 화면이다.


악성코드가 감염되면 특징적으로 운영체제(Windows)가 설치되어 있는 로컬디스크(C:)의 최상위 경로에 정상파일처럼 위장한 가짜 lsass.exe 이름의 악성코드를 생성하며, 사용자 계정의 Temp 폴더에 영문으로 조합된 형식의 악성코드를 생성시키고 함께 작동하도록 만든다.



실행된 악성코드는 보안 제품(Anti-Virus)이나 작업관리자 등에 의해서 강제종료(제거)되는 것을 방해하기 위해서 일종의 자기보호 기능 목적의 프로세스 연동 기법을 사용한다.

"iqgfypvt.exe" 와 "lsass.exe" 의 실행 프로세스는 지속적으로 연동하여 재실행되도록 되어 있으며, 특히 lsass.exe 는 프로세스 아이디(PID)를 실시간으로 변경하기 때문에 선택적 종료와 Kill Process Tree 작업 등이 어렵게 된다.


악성코드는 감염된 상태에서 일정 시간이 흐르면 또 다른 변종들을 설치하기 때문에 다음과 같이 새로운 형태가 추가될 수 있다. 특징적으로 imPlayok.exe 악성코드는 "바탕 화면 보기" 아이콘처럼 위장하고 있는 것을 볼 수 있다.


explorer.exe 프로세스에는 압축프로그램 파일명처럼 위장한 wnzip32.exe 라는 악성코드가 Handles 로 연결되어 악성코드 재실행 기능 등으로 사용된다.


일부 서비스와 프로세스는 Rootkit Driver 기법을 통해서 2중 보호를 하고 있기 때문에 일반 사용자가 수동으로 해결하기가 어려운 형태의 악성코드이다.

아래 화면 중 적색 글씨 부분(황색 배경)이 Hidden 된 서비스와 프로세스 영역을 표시한 것이다.


iqgfypvt.exe 의 경우 임의의 특정 원격 주소지로 지속적으로 연결[IRC(6667), SMTP(25), Remote Connection]을 시도하며, 이 과정에서 비정상적인 네트워크 트래픽이 과도하게 발생함과 동시에 리소스 저하로 인하여 컴퓨터 속도가 급격히 감소될 수 있다.

이러한 악성코드는 Spam Mailer, IRCBot, Autorun Worm, Backdoor, P2P Worm, BotNet, File Infector(Patched), Rogueware 유포 등의 유해 위협 요소로 작용될 수 있으며, 컴퓨터 사용자의 개인 정보가 유출되는 피해가 발생될 위험의 소지가 높다.

그외에도 안전 모드(Safe Mode) 부팅과 관련한 레지스트리 값을 삭제하기 때문에 정상적인 안전 모드 부팅이 불가능할 수 있다.
 


금번 악성코드는 감염 시 치료가 까다롭고, 컴퓨터의 정상적인 작업에 큰 지장을 주기 때문에 미연에 예방하는 것이 그 무엇보다 중요한 부분이라 할 수 있다.

감염이 심각한 수준일 경우 전체 검사 및 치료를 여러 차례 반복하고, 이동 저장매체(USB 디스크, 외장 HDD 등)도 함께 검사해 본 후 재진단되는 악성코드가 최종적으로 없는 것을 확인하는 과정이 요구된다.

잉카인터넷 시큐리티 대응센터(ISARC)에서는 확보된 다수의 변형 악성코드에 대한 진단, 치료 기능을 지속적으로 업데이트하고 있으므로, nProtect Anti-Virus 제품 사용자분들의 경우 항시 가장 최신 날짜의 패턴으로 업데이트를 유지하고, 실시간 감시 기능의 활성화를 통해서 사전에 유입되는 것을 차단하는 것이 최우선적인 감염 예방 수칙이 될 수 있다.