[악성코드 분석] 목적이 불분명한 파일 바이러스 Sivis

목적이 불분명한 파일 바이러스 Sivis 분석

1. 개요 

악성코드 개발 및 유포에는 대부분 직·간접적으로 이득을 취하기 위해서나 실력 과시와 보복을 하기 위해서 등 다양한 의도가 내포 돼있다. 그런데 이와 반대로 악성행위를 수행하지만 그 의도를 알 수 없는 악성코드가 종종 등장한다. 본 보고서에서 다루는 악성코드 sivis 또한 파일 바이러스 동작을 수행하지만 감염 동작 이외에는 어떤 악성 행위도 수행하지않아 개발 및 유포 목적을 파악하기 어렵다. 이 같은 악성코드를 분석하여 목적이 불분명한 다양한 악성코드의 존재를 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	sivis.exe
파일크기	13,312 bytes
진단명	Trojan/W32.Sivis.Gen
악성동작	파일 감염

 

2-2. 유포 경로

해당 악성코드는 파일 바이러스 형태로, 주로 감염된 파일의 실행을 통해 전파된다. 따라서, 감염된 컴퓨터에 연결되었던 USB 또는 파일 공유를 통하여 유포되었을 가능성이 높다.

2-3. 실행 과정

해당 악성코드는 타 파일 감염 시 [악성코드] + 문자열 ”visua” + [대상 파일] 순서로 이어 붙이는 형식으로 감염시키며, 감염된 파일 실행 시 파일의 처음부터 오프셋(offset)을 1씩 증가 시켜가며 5바이트씩 읽어 들여 문자열 “visua”와 비교하여 찾은 다음 “visua” 뒤의 데이터를 복사하여 원본 파일을 실행시킨다.

3. 악성 동작

3-1. 정상 파일 감염

해당 악성코드의 파일 감염 방식은 매우 단순하다. 아래 그림과 같이 대상 파일과 자기 자신을 읽어 들여 [악성 → 문자열“visua” → 원본] 순으로 배치하여 원본 파일에 덮어씌운다.

[그림 1] 대상 파일, 악성파일 읽기

[그림 2] 악성+원본 파일 덮어쓰기

이 과정에서 감염하려는 파일과 호스트 파일의 감염 여부를 전혀 판단하지 않아 원본 파일은 계속해서 뒤로 밀려나게 되고, 감염 파일이 실행 될수록 감염 PC의 모든 파일 크기가 불어나게 된다. 또한, 감염된 파일 실행 시 2-3. 실행 과정에서 기술한 바와 같이 동작하기 때문에 중복 감염된 파일일 경우 원본 파일이 아닌 최초 감염 파일(악성코드 바로 뒤에 붙은 파일)이 실행된다.

4. 결론

해당 악성코드는 치료가 쉬운 단순한 파일 바이러스지만, 이와 다른 파일 바이러스들은 정상 파일을 수정하여 기생하기 때문에 치료 방법이 까다롭다. 그렇기 때문에, 악성코드 감염 시 치료가 불가능한 파일이 발생할 수도 있으며, 원본 파일을 삭제 해야 할 수도 있기 때문에 각별한 주의가 필요하다. 따라서, 악성코드에 감염되지 않도록 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 3] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 4] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면