|
‘바로가기’ 하기 전에 잠깐! AhnLab / 2016-02-03
최근 바탕화면의 '그림 바로가기 파일'로 위장한 악성코드가 발견돼 사용자들의 주의가 필요하다.
‘바로가기’ 기능은 바탕화면에서 클릭 한 번만으로 해당 파일 또는 프로그램을 실행할 수 있는 편리함을 제공한다. 이에 바탕화면에 자주 사용하는 프로그램의 바로가기를 생성해두고 이를 이용하는 사용자들이 많다. 이번에 발견된 악성 파일은 편리함을 추구하는 사용자들의 심리를 이용해 ‘그림 바로가기 파일’로 위장하고 있다. 악성코드 제작자는 사용자가 악성 파일을 그림 파일로 오인하여 실행하게끔 유도했다.
[그림 1] ‘그림 바로가기 파일’로 위장한 악성코드
그러나 이 파일의 속성을 살펴보면 아래 [그림 2]와 같이 “대상 형식”이 이미지 파일이 아닌 응용 프로그램이다. 또한 이 파일의 연결 “대상” 역시 이미지 파일 경로가 아닌 윈도우 파워쉘(powershell.exe)이다. 파워쉘은 마이크로소프트가 개발한 명령 콘솔 및 스크립트 언어로, 이를 이용해 윈도우 운영체제 및 윈도우에서 실행되는 응용프로그램의 관리를 제어하고 자동화할 수 있다. 악성코드 제작자는 이러한 파워쉘을 이용하 악성 바로가기 파일을 제작했다.
[그림 2] 악성 바로가기 파일의 속성
사용자가 이 악성 바로가기 파일을 실행하면 특정한 URL에 연결되어 악성 파일이 다운로드된다. 악성 파일은 또한 구글(Google)을 사칭해 가짜 디지털 서명 및 가짜 속성 정보를 사용자에게 보여줌으로써 정상 파일로 오인하도록 했다.
[그림 3] 가짜 디지털 서명 및 생성 파일 정보
또한 이 악성 파일은 보안 제품의 탐지 및 분석을 피하기 위해 안티디버깅 기능도 갖고 있는 것으로 확인되었다.
V3 제품은 관련 악성코드를 다음과 같은 진단명으로 탐지 및 치료하고 있다.
<V3 제품군의 진단명> LNK/Downloader(2016.01.26.07) Trojan/Win32.Crypt(2016.01.28.04)
지금까지 살펴본 악성 ‘바로가기’ 파일은 주로 스팸 메일을 통해 유포되고 있다. 이러한 최신 악성코드에 감염되는 것을 예방하기 위해서는 발신자가 불분명한 메일이나 수상한 메일의 첨부 파일은 실행하지 않아야 한다. 또한 운영체제 및 응용 프로그램의 최신 보안 업데이트를 적용하고 V3 등 백신 제품을 최신 버전으로 유지하는 등 평소 기본적인 보안 수칙을 준수하는 습관을 갖는 것이 중요하다. |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 나만 궁금할까? 보안에 관한 기초 10가지 (0) | 2016.02.28 |
|---|---|
| 나만 궁금할까? PC 활용 기초 5가지 (0) | 2016.02.25 |
| 더 빠른 작업을 위한 7가지 안드로이드 바로 가기 (0) | 2016.02.17 |
| 新 효도법, 부모님의 디지털 기기 보안 점검 (0) | 2016.02.16 |
| 스마트TV에 숨은 악성 앱 주의! (0) | 2016.02.09 |