화제 속 최신 영화 파일로 위장한 악성코드 유포

화제 속 최신 영화 파일로 위장한 악성코드 유포 AhnLab ASEC대응팀 / 2017-07-19     온라인 동영상 스트리밍 서비스인 넷플릭스(Netflix) 전용 상영 추진 등으로 전세계 영화 분야의 화제가 되었던 최신 영화가 있다. 최근, 해당 영화 파일로 위장한 악성코드가 확인돼 사용자의 주의가 요구된다. 특히 이 영화는 넷플릭스 플랫폼을 통해서 제공된다는 점에서 해당 서비스를 이용하지 않는 영화 팬들이 현혹되기 쉽다.   P2P 사이트를 통해 유포된 이 파일을 다운로드 하여 실행하면 [그림 1]과 같이 최신 영화로 위장한 동영상 파일과 동영상 스트리밍 서비스 플랫폼인 ‘넷플릭스 설치’와 관련된 파일이 다운로드 된다.   [그림 1] 토렌트 다운로드 화면   사용자가 넷플릭스 플레이어 설치를 위해 txt 파일 내의 주소에 접속하여 파일을 다운받으면 [그림 2]과 같이 넷플릭스 로고로 위장한 실행 파일이 나타난다.   [그림 2] 넷플릭스 플레이어로 위장한 실행파일   파일을 실행하면 정상적인 동영상 플레이어 설치가 진행되지만, 동시에 불필요한 프로그램(PUP)도 함께 설치된다. 바로 이 PUP를 통해 악성코드가 사용자 PC에 유입된다. 이렇게 사용자 PC에 자리잡은 악성코드는 C&C 서버에 지속적으로 접속을 시도한다.   [그림 3] 프로그램 설치 창   토렌트를 통한 불법 파일 다운로드로 인해 악성코드에 감염되는 사례가 지속적으로 발생하고 있다. 특히 악성코드 유포자들은 ‘옥자’와 같이 많은 사람들의 관심을 끄는 내용으로 위장하면 공격 성공률이 높다는 것을 잘 알고 있다.   이처럼 악성코드로 인한 피해를 예방하기 위해서는 출처를 알 수 없는 불법 파일을 다운받지 않도록 해야 한다. 인증된 정품 프로그램을 사용하고 합법적인 서비스를 이용하는 것이 바람직하다. 또한 사용 중인 백신은 항상 최신 버전의 엔진으로 업데이트하고 다운받은 파일 또는 의심스러운 파일은 반드시 실행 전 백신을 통해 검사하는 습관이 필요하다.   한편, V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - Trojan/Win32.MSILKrypt - PUP/Win32.Relevant