[보안뉴스 호애진] 하우리(대표 김희천)는 12월 19일 제18대 대통령선거를 앞두고 국민들의 관심이 집중되고 있는 가운데, 이를 이용한 악성코드를 추가 발견했다고 밝혔다.

지난 주 ‘핵심공약.hwp’, ‘현안대응.hwp’ 이라는 대선과 관련된 내용의 한글 악성문서가 이메일을 통해 첨부파일로 유포돼 사용자가 해당 문서를 열람하는 순간, 악성코드에 감염되는 정황을 포착한 바 있다.

이번에 발견된 ‘한반도 신뢰 프로세스.hwp’는 특정 대선 후보의 공약을 이용, 한글 문서에 악성코드를 삽입해 제작됐다. 수신인의 호기심을 자극해 감염이 쉽게 이뤄졌으며, 감염 사실을 알기 어려워 피해를 입은 사용자가 많았을 것으로 추정된다고 회사측은 설명했다.

해당 한글 악성문서를 열람하면, 사용자들 모르게 백그라운드로 다음과 같은 경로에 악성파일을 생성한다.

- C:\WINDOWS\system32\ms[랜덤5자리].dll  : 중복감염 확인, 악성파일 생성

- C:\Windows\Help\Windows_sru.chq  : 시스템 정보 및 사용자 계정 기록

- C:\Documents and Settings\Administrator\Local Settings\Temp\[랜덤6자리].tmp : 수집된 정보 파일 전송

생성된 악성코드는 △컴퓨터 정보(OS 정보, CPU 정보) △ 사용자 계정 이름 △ 특정 확장자 리스트(exe, dll, hwp, pdf, docx 등) 등과 같은 사용자 정보 및 시스템 정보를 수집한다.

수집된 정보는 암호화 파일(windows_sru.chq)로 메일에 첨부되며, ‘이상엽(dltkdduq****@korea.com)’이라는 계정을 사용해 악성코드 제작자에게 발송된다.

하우리 보안대응센터 김정수 센터장은 “PC 사용자들은 메일에 첨부된 파일을 열람하기 전 발신인을 다시 한번 확인하고, 백신 프로그램의 실시간 감시기를 활성화하는 것이 중요하다”며, “수신된 웹 링크는 함부로 클릭하지 않아야 하고, 취약점 패치 및 모바일·PC 백신 업데이트, 웹사이트 관리 및 점검 등 기본적인 시스템 보안에 항상 주의를 기울여야 한다”고 말했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>