본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

토렌트에서 유포되는 '도움말 파일' 악성코드 주의

by 파스칼바이런 2015. 6. 14.

토렌트에서 유포되는 '도움말 파일' 악성코드 주의

AhnLab /2015-06-02

 

 

 

 

최근 P2P 사이트인 토렌트를 이용해 악성코드를 유포하는 사례가 늘고 있다. 토렌트는 웹하드에 파일을 업로드하고 내려받는 방식이 아니라 다수의 피어와 통신함으로써 서버에 업로드 없이 파일을 공유할 수 있다. 또 다운로드 속도가 빨라 많은 인기를 끌고 있으며, 전 세계적으로 사용자가 증가하고 있는 추세다. 하지만 이러한 토렌트의 특징을 악용하여 악성코드가 유포되면 짧은 시간에 많은 사용자에게 피해를 줄 수 있다.

 

[그림 1] 마그넷에 포함된 악성 파일

 

 

이번에 발견된 악성코드는 마그넷에 정상 파일과 악성 파일을 함께 배포하는 방법을 사용했다. 해당 악성코드는 정상 동영상 파일과 악성 도움말 파일(CHM)을 함께 유포했다. ‘필독’, ‘꼭 읽어보세요’ 등 눈에 띄는 문구로 사용자에게 실행을 유도했다.

 

[그림 2] 악성 도움말 파일

 

일부 마그넷 공유 사이트에서는 문제의 심각성을 인지하고 다운로드 받은 파일에 CHM 파일이 있으면 실행하지 말라는 안내문을 게시하기도 했다.  

 

 

[그림 3] 공유 사이트의 안내문

 

 

도움말 파일의 콘텐츠는 HTML 포맷을 따르고 있어 HTML의 태그를 이용한 악성 링크나, 소스가 삽입돼 있을 경우 도움말 파일을 실행, 악성코드에 감염될 수 있다.

 

 

[그림 4] 도움말 파일(좌), 도움말 파일의 소스(우)

 

도움말 파일을 실행하면 [그림 4]의 (좌)와 같은 화면이 사용자에게 보인다. 하지만 [그림 4]의 (우)처럼 실제 소스에는 악성 VBS를 생성하고 실행시키는 소스가 삽입돼 있다.  도움말 파일에 의해 생성된 VBS는 최종적으로 http://43****.3u****ies.com/update.exe에 접근, 악성코드를 다운로드한다.

 

 

[그림 5] 파일명을 ahnlab으로 변경한 악성코드

 

 

다운로드된 악성코드는 일반적으로 사용자들에게 신뢰를 주기 위해 프로그램을 ahnlab.exe, cclener.exe 등으로 파일명을 변경한 후 시작프로그램에 등록해 주기적으로 실행된다.

 

토렌트는 별도의 서버를 거치지 않고 누구나 파일을 공유할 수 있다는 장점이 있다. 하지만 서버가 없기 때문에 파일 검증이 이뤄지지 않아 앞으로도 악성코드의 유포지로 악용될 소지가 다분하다. 앞서 다룬 도움말 파일을 이용한 유포 외에도 파일의 확장자를 변경하여 실행을 유도하는 등 다양한 방법으로 악성코드가 유포되고 있어 토렌트를 사용할 때에는 각별한 주의가 필요하다.

 

이와 같은 악성코드의 피해를 예방하려면 ▲출처가 불분명한 파일이나 불법 파일 다운로드 금지 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 설치, 자동업데이트 및 실시간 감시 기능 실행 등이 필요하다.

 

안랩의 V3 제품군에서는 관련 악성코드를 다음과 같이 진단하고 있다. @

 

<V3 제품군의 진단명>

Trojan/Win32.Kazy (2015.05.27.01)

VBS/Psyme (2015.05.28.02)

CHM/Dropper (2015.05.28.02)