중요 dll 파일 이용해 지능적인 수법 구사

[보안뉴스 호애진] 안티바이러스 프로그램을 우회하는 신종 드로퍼가 발견됐다. 드로퍼란 사용자 몰래 바이러스나 트로이목마를 설치하는 악성코드를 말한다.

이를 처음 발견한 비트디펜더(BitDefender)는 드로퍼 혹은 Trojan.Dropper.UAJ라고 불리는 악성코드가 중요 dll 파일을 이용해 지능적인 수법으로 안티바이러스 프로그램을 우회한다고 밝혔다.

해당 악성코드는 시작 목록(Startup list)에 자신을 추가하는 평범한 수법을 쓰지 않는다. 대신 여러 유명 브라우저와 통신 애플리케이션 및 네트워킹 툴에 흔히 쓰이는 라이브러리 파일인 ‘comres.dll’을 하이재킹, 복사하고 변경해 이 라이브러리파일이 호출될 때마다 악성코드가 활성화될 수 있도록 한다. 종국에는 이 변경된 파일을 윈도우 디렉토리 폴더에 저장한다.

왜 윈도우 폴더일까? 일부 애플리케이션이 이 dll 파일의 이름만 명시할 뿐 전체 경로를 명시하지 않는다는 사실을 이용하기 때문이다. 이 dll 파일이 접근성이 더 높기 때문에 애플리케이션은 해당 특정 파일이 필요할 때마다 악성코드가 변조한 dll 파일을 이용하게 된다. 

비트디펜더(BitDefender)는 “이 드로퍼는 새로운 악성 기능 하나를 원래의 코드 라이브러리(comres.dll)의 가져오기 목록에 추가함으로써 ‘comres.dll’의 사본을 변조(Patch)해 이 기능의 나머지 부분이 시작되도록 만든다. 그 후 시스템 감염 기능을 내보내는 ‘prfn0305.dat’ 파일(Backdoor.Zxshell.B)을 떨어뜨린다”면서 “그러면 시스템이 이 코드 라이브러리를 호출하는 순간 악성코드가 활성화된다”고 설명했다.

이렇게 만들어진 백도어는 사용자 추가 혹은 삭제, 패스워드 변경, 사용자 권한 추가 혹은 제거, 그리고 권한을 상승시켜 실행파일을 실행하는데 이용된다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>