다양한 악성코드 다양한 기법으로 전파되어 사용자들의 각별한 주의 필요

과거 Trojan 계열의 바이러스는 자체적으로 전파하는 기능을 가지고 있지 않기 때문에 전파 위험이 높지 않았으나 최근에는 다른 저장 매체를 이용하여 자신을 전파하거나 다른 바이러스(Worm, Spam Mail, 사회 공학적 기법 등등)에 의해 다양한 기법으로 전파될 수 있기 때문에 사용자의 각별한 주의가 필요하다. 특히 온라인 게임이 대중화되면서 게임 아이템 및 게임 캐릭터가 현금으로 거래되고 이에 국내 온라인 게임 환경에 맞춰 개인정보를 유출시키는 악성코드들이 등장했고 이는 하루에도 많은 변종을 일으키며 발견되고 있다.  

최근 끊임없이 등장하는 악성코드는 금품 갈취나 해킹 사고 같이 당장 드러나는 사회 문제뿐 아니라 잠재적 위험이 도사리는 개인정보 유출에 이르기까지 그 맹위를 떨치고 있는 중이다. 이동식 디스크나 인터넷 등을 통해 전파되는 악성코드는 점차 세분화되고 있으며 이는 남녀노소 큰 인기를 끌고 있는 온라인 게임에서도 속속 발견되고 있다. 

온라인 게임이 대중화되면서 파생된 게임 시장의 활성화는 아이들의 전유물로 여겨졌던 게임을 일반인들에게 급속도로 전파시켰고 온라인 게임을 하나의 트렌드로 자리잡게 했다. 그러나 온라인 게임의 아이템 및 게임 캐릭터가 현금으로 거래되면서 국내 온라인 게임 환경에 맞춰 개인정보를 유출시키는 악성코드들이 등장하였고 이는 하루에도 많은 변종을 일으키며 발견되고 있다.

악성코드 전파 방법

과거 Trojan 계열의 바이러스는 자체적으로 전파하는 기능을 가지고 있지 않기 때문에 전파 위험이 높지 않았으나 최근에는 다른 저장 매체를 이용하여 자신을 전파하거나 다른 바이러스(Worm, Spam Mail, 사회 공학적 기법 등등)에 의해 다양한 기법으로 전파될 수 있기 때문에 사용자의 각별한 주의가 필요하다.

● 이동식 디스크를 이용한 전파(Autorun.inf)

윈도우에서 제공하는 프로그램 자동 실행의 한 수단으로써 사용자 입력으로 드라이브 접근 시 특정 프로그램을 실행하도록 정의된 텍스트 파일을 말한다. Autorun.inf 파일은 문법 자체가 간단하고 텍스트 파일로 쉽게 작성이 가능하기 때문에 악성코드 제작 관점에서 별다른 기술적 어려움 없이 이동식 디스크 등을 통한 전파 수단으로 사용할 수 있다.

● 인터넷을 통한 다른 악성코드 다운로드 및 전파

해커가 인터넷 웹사이트를 해킹해 웹사이트에 접속하는 클라이언트로 하여금 악성코드를 다운 받게 만들거나 국내·외에 좀비 서버를 제작하여 해당 서버로부터 악성코드를 다운받도록 하는 방식이 있다.

바이러스의 동작

● 백신 업데이트 프로그램 삭제

바이러스 백신 프로그램의 업데이트 파일을 삭제함으로써 백신 프로그램의 업데이트를 방해한다. 업데이트 파일이 삭제되면 현재 설치된 백신 프로그램에서 진단 패턴을 가지고 있지 않거나 변종 또는 신종의 바이러스 경우엔 더 이상의 최신 패턴 업데이트가 불가능하므로 해당 바이러스는 물론 다른 신/변종의 바이러스를 진단/치료 하지 못하게 된다.

그림 2는 실행된 바이러스가 설치되어 있는 백신프로그램의 업데이트 파일을 찾은 후 kernel32의 DeleteFileA 함수를 넘겨주는 과정을 나타낸다. 그림 3은 바이러스가 넘겨준 파일의 경로 및 삭제 대상의 이름을 kernel32.DeleteFileA 함수에서 삭제하는 과정을 나타낸다. kernel32.DeleteFileA 함수는 운영체제에서 이용하는 정상적인 함수이다. 단순히 전달받은 인자 값을 삭제하는 역할만 하며 운영체제에서는 바이러스 또한 일반적인 프로그램에 불가하기 때문에 바이러스가 요청한 삭제요청이 정상적으로 이루어지게 된다.

● 레지스트리 값 변경

그림 4는 바이러스에 의해 생성된 파일을 숨김 속성으로 생성한 후 생성된 파일들을 보호하기 위해 레지스트리 키 값을 변경하는 과정이다.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL]/CheckedValue 값을 다른 값으로 변경한다.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\SuperHidden]/CheckedValue 값을 다른 값으로 변경한다.

● 추가 바이러스 다운로드

실행된 바이러스는 좀비 서버에 접속하여 추가적인 다른 바이러스를 다운로드 한다. http://k***d.com/xhg2/ll1.rar파일을 다운로드해 실행한다. 다운로드 된 파일은 실행된 바이러스와 유사한 종류의 파일이며 동작행위 역시 비슷하다.

● 자동실행 및 전파를 위한 행위

실행된 바이러스는 레지스트리 키값(run) ahnsoft값을 생성해 윈도우 부팅 시 마다 시작하게 설정하고 autorun.inf 파일을 생성하여 각 드라이브 해당 파일을 생성하여 폴더를 열 때 마다 자신을 시작하게 설정을 해놓는다. 국내 보안 업체인 Ahnlab의 파일처럼 보이기 위한 이름으로 파일을 변경하여 사용자로 하여금 직관적으로 바이러스임을 알 수 없도록 우회 한다.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]/ahnsoft

● 개인정보 유출 대상 게임 목록

십이지천2 및 미르의전설3 등 온라인 게임 목록을 가지고 있으며 해당 프로세스가 실행이 되는 것을 탐지해 아이디 및 패스워드를 수집한다. 비단 이 두 가지의 게임뿐만 아니라 최신 유행 온라인 게임도 추가되는 추세에 있다.

바이러스의 예방 방법

● 신뢰할 수 있는 국내외 최신 업데이트 바이러스 백신 설치

하루에도 많은 신종 바이러스가 발견이 되므로 바이러스체이서 백신 등 최신 업데이트가 되어 있는 바이러스 백신으로 시스템을 보호해야 한다. 이때 실시간 감시를 활성화해야 실시간으로 유입되는 바이러스를 탐지할 수 있다.

● 사용자 비밀번호의 주기적인 변경

요즘 많은 포털 사이트 및 게임, 은행 사이트에서 로그인시 정기적인 비밀 번호 변경을 권장하고 있으나 대부분의 사용자가 이를 귀찮아하기 때문에 그냥 지나치는 경우가 많다. 하지만 주기적인 비밀번호 변경은 개인정보를 보호하는 가장 손쉬운 방법 중 하나이다.

● 운영체제 보안 업데이트 유지

시스템 취약점을 이용한 공격을 통해 데이터 파괴 및 바이러스에 감염이 될 수 있다. 이를 예방하기 위해서는 주기적인 시스템의 보안패치 설치가 필수적이다.

● 검증되지 않은 파일 다운로드 및 실행/공유 금지

P2P 사이트의 일부 파일이나 출처가 불분명한 파일들은 악성코드에 감염이 되어 있거나 실제로 악성 코드 파일의 이름만 변경된 상태로 유포되는 경우가 많기 때문에 발신자가 불분명한 사람에게 온 메일의 첨부 파일은 절대 확인하지 않는 것이 좋다. 또한 메신저를 이용해 다른 사용자가 보낸 파일 역시 수락하기 전에 발신자로부터 파일 내용을 확인하는 등 사용자의 각별한 주의가 필요하다.

<글 : 손충원 에스지어드밴텍 침해사고대응센터 연구원(cwson@viruschaser.com)>

[월간 정보보호21c 통권 제110호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>