본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

동영상 서비스 관련 정상 파일을 이용하는 악성코드 발견

by 파스칼바이런 2015. 7. 30.

동영상 서비스 관련 정상 파일을 이용하는 악성코드 발견

AhnLab / 2015-07-22

 

 

 

 

최근 국내 유명 동영상•음악 재생 서비스의 정상 파일을 이용한 악성코드가 또 다시 발견돼 사용자들의 주의가 요구된다.

 

사이버 공격자들이 정상 파일로 위장한 악성코드를 유포하는 방식은 새로운 것은 아니다. 데몬 툴즈(DAEMON Tools)나 인기 동영상 플레이어, 볼륨마우스 유틸리티(Volumouse Utility ) 등의 프로그램을 비롯해 주요 백신(Anti-virus) 제품들의 정상 파일로 위장한 사례들이 종종 발견되고 있다.

 

이번에 발견된 동영상•음악 재생 서비스의 파일로 위장한 악성코드는 지난 2014년에 처음 발견되었고, 올해 3월 또다시 발견된 이후로는 잠잠한 듯 하였으나 이번에 또 다시 발견됐다.

 

해당 악성코드는 RAT(Remote Access, 원격제어)류의 악성코드로, 카이홍 익스플로잇 킷(Caihong Exploit Kit)과 CVE-2010-0806, CVE-2014-6332 취약점이 이용되었다. 악성코드에 감염되면 최종적으로 ‘putty.exe’ 파일이 사용자 PC에 다운로드되며, 이후 이 파일이 ***PlayerMini.exe (정상 파일), fif.png (악성 파일), ***Player.dll (악성 파일) 등을 다운로드하고 동작한다.

 

해당 동영상•음악 재생 서비스 제공 업체는 이용자들의 안전을 위해 지난 2월, ***Player.dll 파일이 변조되었는지 여부를 확인하는 기능을 추가한 바 있다.  해당 악성코드의 디지털 서명 정보를 살펴보면 서명자 이름(프로그램 제공자)나 서명 시간 등이 실제 서비스의 디지털 서명 정보와 차이가 있다.

 

따라서 이처럼 인기 애플리케이션을 이용한 공격의 피해를 방지하기 위해서는 프로그램 파일 다운로드 시 디지털 서명 정보를 확인하는 것이 바람직하다. 일반 사용자들로서는 매번 디지털 서명 정보를 확인하는 것은 쉽지 않은 일이지만, 평소 주로 사용하는 애플리케이션을 눈 여겨 보고 주의를 기울이는 노력이 필요하겠다.

 

또한 취약점을 이용한 드라이브 바이 다운로드(Drive-By-Download) 방식의 공격에 의한 피해를 최소화하기 위해서는 소프트웨어의 최신 보안 업데이트를 적용하고, 백신 제품 또한 최신 버전으로 유지해야 한다.

 

한편 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

 

- Trojan/Win32.Banki (2015.07.14.00)

- Trojan/Win32.Downloader (2015.07.14.00)

- Binimage/Korplug (2015.07.14.00)