호기심에 클릭했다가… 음란물 위장 악성코드 주의!

호기심에 클릭했다가… 음란물 위장 악성코드 주의! AhnLab ASEC대응팀 / 2017-08-02         호기심에 클릭했다가… 음란물 위장 악성코드 '주의'   토렌트를 통한 악성코드 유포가 끊이지 않는 가운데 최근 또다시 토렌트를 통해 음란물로 위장한 악성코드가 유포돼 사용자의 각별한 주의가 요구된다.   [그림 1]은 최근 토렌트를 통해 유포된 악성 파일의 게시물이다. 공격자는 더 많은 사용자들이 다운로드 하도록 유도하기 위해 자극적인 파일명과 이미지를 이용하고 있다.   [그림 1] 토렌트에 게시된 음란물   사용자가 해당 파일을 다운로드 하면 [그림 2]와 같이 동영상 파일 확장자(.mp4)와 동영상 플레이어의 아이콘을 가진 파일이 사용자 저장된다. 그러나 이 파일은 동영상 파일이 아닌 악성 실행 파일이다.   [그림 2] 동영상 파일로 위장한 악성 실행 파일   이 악성 파일이 실행되면 또 다른 동영상 파일을 생성하기 때문에 사용자는 이 파일이 악성 파일이라는 것을 알아차리기 어렵다. 또한 이 파일은 어도비 설치 파일도 함께 생성하는데, 이 파일은 악성 파일이 자가 복제한 파일이다.   자가 복제된 악성 파일은 [그림 3]과 같이 윈도우에 기본으로 설치되어 있는 계산기 프로그램에 인젝션되어 실행된다.   [그림 3] 계산기 프로그램(calc.exe)에 인젝션된 악성 파일   실행된 악성 파일은 특정 주소(185.165.29.119)에 지속적으로 네트워크 연결을 시도한다. 정상적으로 연결될 경우 감염된 PC의 데이터를 공격자 서버로 전송하거나 또 다른 악성코드를 사용자 PC에 추가로 다운로드 할 수 있다. 즉, 악성 파일이 사용자 PC에 공격 경로(루트)를 뚫어놓은 것이라 할 수 있다.   공격자들은 악성코드를 더 많이, 더 빠르게 유포하기 위해 사람들의 호기심을 자극하는 사회공학기법을 자주 이용한다. 또 토렌트와 같은 파일 공유 사이트를 주로 이용하는데, 토렌트를 통해 업로드 된 파일은 무결성을 검증하는 절차를 거치지 않기 때문이다 토렌트 이용자가 다운로드 하고자 하는 파일이 악성코드를 포함하고 있는지의 여부를 알 수 없다는 뜻이다.   따라서 이처럼 토렌트를 통해 악성코드에 감염되는 것을 예방하기 위해서는 불법 콘텐츠를 다운로드 하지 않는 것이 가장 중요하다. 인터넷에서 파일을 다운로드 할 때는 공식 사이트를 이용하거나 파일을 업로드 한 등록자의 정보를 확인하는 것이 좋다. 또 파일을 다운로드 한 후에는 V3 등 백신을 이용해 검사 후 이용하는 습관도 바람직하다.   한편, V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - Dropper/Win32.Ceatrg