| [긴급]일본으로 ID/패스워드 빼내는 악성코드 주의! | 2010.04.06 | ||||||
ID/패스워드를 system.ini 파일에 암호화시켜 일본으로 전송
최근 개인정보와 관련된 보안 사고가 연이어 발생하고 있는 가운데 인터넷 사이트의 로그인 정보(ID/패스워드)를 수집하여 일본으로 유출시키는 악성코드가 유행하고 있어 PC 사용자들의 주의가 요구되고 있다. 이스트소프트(대표이사 김장중) 알툴즈사업본부는 PC사용자가 입력한 ID/패스워드 정보를 가로채 일본으로 유출시키는 키로거(Keylogger)형 악성코드가 인터넷 카페와 블로그의 첨부파일을 통해 확산 중이며, 알약 고객지원팀을 통해 감염/피해 신고 건수가 늘고 있다고 6일 밝혔다. 이번에 로그인 정보(ID/패스워드)를 일본으로 유출시킨 악성코드는 PC 사용자가 키보드로 입력한 ID/패스워드를 ‘system.ini’ 파일에 암호화시켜 저장한 후 일본으로 전송한다. 이때 system.ini가 전송되는 과정 중에 인터넷속도가 느려지는 문제가 발생하지만 체감하기는 쉽지 않고 또한, 일본으로 로그인정보를 전송한 후 system.ini 파일을 악성코드가 스스로 삭제하기 때문에 자신의 ID/패스워드 유출 여부를 판단하기 매우 어렵다.
▲암호화 처리 후 일본으로 유출되는 로그인 정보(system.ini) 파일 ⓒ이스트소프트
현재까지 파악된 감염 경로를 보면 인터넷 카페나 커뮤니티의 첨부파일로 악성 ActiveX 파일을 올려놓은 후 카페나 블로그를 정상적으로 사용하기 위한 필수 ActiveX 설치 파일이라고 PC 사용자를 현혹시켜 설치하게 만드는 것이 특징이다. 특히 PC 사용자가 악성 ActiveX 파일을 설치하게 될 때 나타나는 보안경고 정보가 위조된 국내 유명 포털사이트의 인증서로 나타나 이를 믿고 설치할 가능성이 높다.
▲(좌측) 가짜 ActiveX 설치화면, (우측) 다음에서 정식으로 설치하는 배경음악 ActiveX 파일. 제공사의 이미지 및 이용에 대한 설명에서 차이가 크다 ⓒ이스트소프트
이 악성코드는 알약에서 ┖K.KLG.ActiveSystem.65912, V.DRP.Agent.102400┖등으로 에 진단하고 있으며 치료 기능을 제공하고 있다. 이스트소프트 알약분석팀 이상희 팀장은 “국내외 어떠한 인터넷 사이트에 로그인하더라도 예외 없이 ID/패스워드 정보를 빼내 일본으로 전송되므로 추가적인 개인정보 도용 피해가 우려된다”며 “8자리 이상의 영/숫자/특수문자 등이 혼합된 안전한 패스워드로 변경하고, 자주 이용하는 인터넷 사이트에서 제공하는 여러 로그인 보안 기능을 최대한 활용해야 한다”고 강조했다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||
 |
