|
토렌트에서 유포되는 '도움말 파일' 악성코드 주의 AhnLab /2015-06-02
최근 P2P 사이트인 토렌트를 이용해 악성코드를 유포하는 사례가 늘고 있다. 토렌트는 웹하드에 파일을 업로드하고 내려받는 방식이 아니라 다수의 피어와 통신함으로써 서버에 업로드 없이 파일을 공유할 수 있다. 또 다운로드 속도가 빨라 많은 인기를 끌고 있으며, 전 세계적으로 사용자가 증가하고 있는 추세다. 하지만 이러한 토렌트의 특징을 악용하여 악성코드가 유포되면 짧은 시간에 많은 사용자에게 피해를 줄 수 있다.
[그림 1] 마그넷에 포함된 악성 파일
이번에 발견된 악성코드는 마그넷에 정상 파일과 악성 파일을 함께 배포하는 방법을 사용했다. 해당 악성코드는 정상 동영상 파일과 악성 도움말 파일(CHM)을 함께 유포했다. ‘필독’, ‘꼭 읽어보세요’ 등 눈에 띄는 문구로 사용자에게 실행을 유도했다.
[그림 2] 악성 도움말 파일
일부 마그넷 공유 사이트에서는 문제의 심각성을 인지하고 다운로드 받은 파일에 CHM 파일이 있으면 실행하지 말라는 안내문을 게시하기도 했다.
[그림 3] 공유 사이트의 안내문
도움말 파일의 콘텐츠는 HTML 포맷을 따르고 있어 HTML의 태그를 이용한 악성 링크나, 소스가 삽입돼 있을 경우 도움말 파일을 실행, 악성코드에 감염될 수 있다.
[그림 4] 도움말 파일(좌), 도움말 파일의 소스(우)
도움말 파일을 실행하면 [그림 4]의 (좌)와 같은 화면이 사용자에게 보인다. 하지만 [그림 4]의 (우)처럼 실제 소스에는 악성 VBS를 생성하고 실행시키는 소스가 삽입돼 있다. 도움말 파일에 의해 생성된 VBS는 최종적으로 http://43****.3u****ies.com/update.exe에 접근, 악성코드를 다운로드한다.
[그림 5] 파일명을 ahnlab으로 변경한 악성코드
다운로드된 악성코드는 일반적으로 사용자들에게 신뢰를 주기 위해 프로그램을 ahnlab.exe, cclener.exe 등으로 파일명을 변경한 후 시작프로그램에 등록해 주기적으로 실행된다.
토렌트는 별도의 서버를 거치지 않고 누구나 파일을 공유할 수 있다는 장점이 있다. 하지만 서버가 없기 때문에 파일 검증이 이뤄지지 않아 앞으로도 악성코드의 유포지로 악용될 소지가 다분하다. 앞서 다룬 도움말 파일을 이용한 유포 외에도 파일의 확장자를 변경하여 실행을 유도하는 등 다양한 방법으로 악성코드가 유포되고 있어 토렌트를 사용할 때에는 각별한 주의가 필요하다.
이와 같은 악성코드의 피해를 예방하려면 ▲출처가 불분명한 파일이나 불법 파일 다운로드 금지 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 설치, 자동업데이트 및 실시간 감시 기능 실행 등이 필요하다.
안랩의 V3 제품군에서는 관련 악성코드를 다음과 같이 진단하고 있다. @
<V3 제품군의 진단명> Trojan/Win32.Kazy (2015.05.27.01) VBS/Psyme (2015.05.28.02) CHM/Dropper (2015.05.28.02) |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 악성코드보다 더 불편한 PUP, 확실한 제거 방법 (0) | 2015.06.22 |
|---|---|
| 다가오는 휴가철, 내 신용카드를 지키는 법 (0) | 2015.06.21 |
| QR코드에 악성코드가? '큐싱' 예방법 (0) | 2015.06.13 |
| 안드로이드 스마트폰, 안전 모드로 부팅하는 법 (0) | 2015.06.04 |
| 'Putty'툴에 악성 기능 내장시켜 변조하는 악성코드 (0) | 2015.06.03 |