wmf 자동실행 주의...개인정보 유출 경고

 지오트, “차단프로그램 제작 중이며 무료배포 예정”

“12월 29일 0시경 일명 0 day(제로데이)공격에 해당하는 트로이목마가 발견되었다”고 지오트 측이 발표했다.

제로데이공격이란 새로운 보안 취약점이 발견되었을 때 그 문제가 해결되기 전이나, 또는 패치가 발표되기 전에 취약점을 이용한 공격이 발생하는 것을 말한다. 이는 취약점 공격의 신속성을 의미하기도 하며, 대응책이 공식 발표되기도 전에 공격이 이루어지기 때문에 대처 방법이 없다는 점에서 위험성이 배가된다.

이번 트로이목마는 http://un*******.com/d/**/wmf_exp.htm (일부제거)사이트를 통해서 배포되었으며, 현재는 해당 사이트가 정상적으로 접속되지 않는 상태다. 이외 약 7개의 다른 사이트 등을 통해서 유사한 트로이목마가 유포되는 것을 지오트 바이러스 분석실(GCERT)에서 추가로 발견했다.

WMF(Windows Metafile Format)는 윈도우 메타 파일 형식으로 윈도우에서 벡터 도형을 응용프로그램 간에 교환하기 위해 저장하는데 도형파일형식, 비트맵과 텍스트용으로도 사용되지만, 도형을 그리기 위한 윈도우 명령이 포함되어 있기 때문에 주로 벡터 도형 파일 형식으로 사용된다.

이번에 발견된 취약점은 사용자가 WMF 형식 파일을 볼 때 파일분석과정에서 오류가 존재해, 원격 또는 로컬 공격자가 임의의 코드를 시스템 권한으로 실행시킬 수 있다.

지오트 바이러스 분석실(GCERT) 관계자는 “29일 새벽 4개의 wmf 샘플을 입수했으며, 일부 모의 테스트 결과 스파이웨어 종류의 파일을 다운로드 해 오는 증상을 가진 것으로 확인했다”며 “설치되는 파일중 일부는 이메일 웜(Email-Worm.Win32.Locksky.p) 등도 포함되어 있었다”고 밝혔다.

아래는 일부 트로이목마가 실행되었을 때 설치되는 파일들을 모와서 캡처한 화면이다.

wmf파일은 마우스 커서가 닿거나, 미리보기 등으로 설정되어 있을 경우 자동으로 실행되며, boot.inx파일을 받아와서 실행시킨다.

boot.inx는 실제로 exe파일이며, 실행시 작업관리자를 사용하지 못하게 레지스트리를 변경하고, netsh.exe를 실행한 다음에 아래와 같은 특정 웹사이트에서 파일을 z11.exe, z12.exe, z13.exe, z14.exe, z15.exe, z16.exe 등의 이름으로 다운로드한다.

http://***************************soft3.exe

http://***************************dial.exe

http://***************************tool.exe

http://***************************soc.exe

http://***************************res.exe

http://***************************patch.exe

지오트 유니큐어 최신 버전에서는 wmf파일을 ‘Trojan-Downloader.Win32.Agent.acd’라는 이름으로 진단하고 있다.

스파이웨어에 감염되면, 시스템에 감염되었다는 영문메시지가 트레이부분에 팝업으로 출력되며, 바탕화면도 아래와 같이 변경되어, 스파이웨어 치료 프로그램을 강제로 받아 설치하기도 한다.

지오트 관계자는 “스파이웨어와 스파이웨어 검사프로그램을 동시에 설치해 사용자로 하여금 유료로 치료하도록 유도한다”고 밝히고 “아웃룩 사용자의 저장된 아이디와 암호를 attrib.ini파일에 저장하는데, 개인정보가 외부로 유출될 위험이 있다”고 경고했다.

캡처화면 내용은 경로를 변경한 것이며 포함된 아이디와 암호는 임의로 삭제하였다.(실제로는 아이디와 암호가 저장된다.)

현재 지오트 측은 “이번 제로데이 트로이목마와 관련 차단 프로그램을 제작중이며 무료배포할 예정”이라고 밝혔다.

[길민권 기자(is21@infothe.com)]

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>