|
동영상 서비스 관련 정상 파일을 이용하는 악성코드 발견 AhnLab / 2015-07-22
최근 국내 유명 동영상•음악 재생 서비스의 정상 파일을 이용한 악성코드가 또 다시 발견돼 사용자들의 주의가 요구된다.
사이버 공격자들이 정상 파일로 위장한 악성코드를 유포하는 방식은 새로운 것은 아니다. 데몬 툴즈(DAEMON Tools)나 인기 동영상 플레이어, 볼륨마우스 유틸리티(Volumouse Utility ) 등의 프로그램을 비롯해 주요 백신(Anti-virus) 제품들의 정상 파일로 위장한 사례들이 종종 발견되고 있다.
이번에 발견된 동영상•음악 재생 서비스의 파일로 위장한 악성코드는 지난 2014년에 처음 발견되었고, 올해 3월 또다시 발견된 이후로는 잠잠한 듯 하였으나 이번에 또 다시 발견됐다.
해당 악성코드는 RAT(Remote Access, 원격제어)류의 악성코드로, 카이홍 익스플로잇 킷(Caihong Exploit Kit)과 CVE-2010-0806, CVE-2014-6332 취약점이 이용되었다. 악성코드에 감염되면 최종적으로 ‘putty.exe’ 파일이 사용자 PC에 다운로드되며, 이후 이 파일이 ***PlayerMini.exe (정상 파일), fif.png (악성 파일), ***Player.dll (악성 파일) 등을 다운로드하고 동작한다.
해당 동영상•음악 재생 서비스 제공 업체는 이용자들의 안전을 위해 지난 2월, ***Player.dll 파일이 변조되었는지 여부를 확인하는 기능을 추가한 바 있다. 해당 악성코드의 디지털 서명 정보를 살펴보면 서명자 이름(프로그램 제공자)나 서명 시간 등이 실제 서비스의 디지털 서명 정보와 차이가 있다.
따라서 이처럼 인기 애플리케이션을 이용한 공격의 피해를 방지하기 위해서는 프로그램 파일 다운로드 시 디지털 서명 정보를 확인하는 것이 바람직하다. 일반 사용자들로서는 매번 디지털 서명 정보를 확인하는 것은 쉽지 않은 일이지만, 평소 주로 사용하는 애플리케이션을 눈 여겨 보고 주의를 기울이는 노력이 필요하겠다.
또한 취약점을 이용한 드라이브 바이 다운로드(Drive-By-Download) 방식의 공격에 의한 피해를 최소화하기 위해서는 소프트웨어의 최신 보안 업데이트를 적용하고, 백신 제품 또한 최신 버전으로 유지해야 한다.
한편 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군의 진단명>
- Trojan/Win32.Banki (2015.07.14.00) - Trojan/Win32.Downloader (2015.07.14.00) - Binimage/Korplug (2015.07.14.00) |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 악성코드만큼 악의적인 PUP (0) | 2015.08.01 |
|---|---|
| 1995 vs. 2015 세계 최강 슈퍼컴퓨터 성능 대결 (0) | 2015.07.31 |
| 지금은 ‘포노 사피엔스’ 시대! (0) | 2015.07.29 |
| 이메일 정리를 도와주는 4가지 서비스 (0) | 2015.07.28 |
| 사이버 세상에서도 무서운 메르스(중동호흡기증후군) (0) | 2015.07.27 |