원격제어 프로그램, 원격 수리 아닌 원격 해킹?!

원격제어 프로그램, 원격 수리 아닌 원격 해킹?! AhnLab ASEC대응팀 / 2017-12-20       원격제어 프로그램으로 위장한 악성코드가 지속적으로 발견되고 있어 사용자들의 주의가 요구된다.   원격제어 프로그램은 대개 컴퓨터 장애 해결 시, 또는 특정 장소에 있는 PC를 외부에서 연결하여 사용해야 할 때 이용하는 프로그램으로, 이 점을 노린 악의적인 공격자들이 원격제어 프로그램으로 위장한 악성코드를 지속적으로 유포하고 있다. 최근에도 유명 원격제어 프로그램의 설치 파일로 위장한 악성코드가 유포됐다. [그림 1]의 가짜 원격제어 프로그램 설치 파일을 실행하면 [그림 2]와 같은 프로그램 설치 화면이 나타난다.   [그림 1] 원격제어 프로그램 설치 파일로 위장한 악성코드   [그림 2] 원격제어 프로그램 설치 화면   가짜 설치 파일은 임시 경로에 원격제어 프로그램의 실제 설치 파일인 Setup.exe와 함께 악성 파일인 xmlUpdater.exe를 생성한다. 따라서 사용자들은 정상프로그램이 설치된 것으로 착각하기 쉽다.   임시 경로에 생성된 악성 xmlUpdater.exe 파일은 실행 시 자신을 자가 복제하여 또 다른 .exe 파일을 생성한다. 이후 시작 메뉴에 자가 복제 파일을 등록하는데, 이는 시스템이 재시작될 때마다 악성 파일을 실행하기 위함이다. 또한, 윈도우 방화벽이 악성 파일의 실행을 차단하지 않도록 레지스트리 값을 수정한다.   이후 악성 파일은 감염된 시스템의 데이터를 전송하고 추가로 악성코드를 다운로드 하기 위해 지속적으로 네트워크 연결을 시도하는 것으로 보인다.   익히 알고 있는 바와 같이 대부분의 악성코드는 사용자의 다운로드를 유도하기 위해 호기심을 자극하는 콘텐츠의 파일나 유틸리티 프로그램 등으로 위장한다. 따라서 악성코드 감염을 예방하기 위해서는 콘텐츠 및 프로그램을 다운로드 할 때는 공식 사이트를 이용하고 불법 콘텐츠를 다운로드하지 않는 것이 중요하다. 이 밖에 백신 및 주요 프로그램의 최신 업데이트를 적용하는 등 기본적인 보안 수칙을 준수하는 습관이 필요하다.   안랩 V3 제품군은 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - Trojan/Win32.FakeInstaller - Backdoor/Win32.Blabindi