북한과의 군사적 긴장 관계 악용해 악성코드 유포

[보안뉴스 김태형] 최근 북한과의 군사적 긴장 관계를 악용하는 악성코드가 발견되어 주의가 필요하다. 현재 남한과 북한은 개성공단 폐쇄 및 북한의 미사일 발사 위협 등으로 인해 군사적 위기감이 상당히 높은 상황이다.

안랩 시큐리티대응센터(이하 ASEC)는 “최근 남북관계에 긴장감이 고조되는 가운데 이를 이용해 악성코드를 유포하는 것으로, 실제로 이러한 파일을 실행하여 감염되는 사용자가 많을 것으로 보이므로 사용자의 각별한 주의가 요구되는 상황이다”라고 설명했다.

    

      ▲ MS워드 파일로 위장한 악성코드

특히 이번에 발견된 악성코드는 위와 같이 ‘차북핵 한국대응조치 결과가 나왔어요.exe’라는 파일명을 사용하고 있다. 그러나 MS워드 문서 파일 형식의 아이콘을 그대로 사용하고 있지만, 실제 파일 형식은 exe 실행 파일이다.

악성코드는 RAR 실행압축 파일로 제작되어 있으며, 해당 파일을 실행하면 12.hwp 한글 문서 파일과 다수의 PE 파일을 생성하는데 그 목록은 다음과 같다.

<악성코드 실행 시 생성되는 PE파일 목록>

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gm.exe    

C:\WINDOWS\system32\SVKP.sys    

C:\Documents and Settings\All Users\SysEV\rc.hlp    

C:\Documents and Settings\All Users\SysEV\rc.exe    

C:\Documents and Settings\All Users\SysEV\rcdll.dll    

해당 악성코드를 실행하면 생성되는 12.hwp 파일은 자동으로 한글 프로그램을 통해 열리기 때문에 사용자는 정상 파일이 실행된 것으로 생각하기 쉽다. 그러나 이것은 사용자의 눈을 속이기 위한 동작으로, 백그라운드에서는 악성코드의 감염 과정이 진행되고 있다.

       ▲ 12.hwp 문서가 자동으로 열린 화면

이후 악성코드는 생성된 SVKP.sys 파일을 SVKP라는 서비스 명으로 등록하고 주기적으로 동작시킨다. 등록된 악성서비스는 특정 IP로 연결을 시도하지만, 현재는 해당 서버가 동작하지 않아 이후 과정을 확인할 수 없었다.

접속을 시도하는 IP 주소가 이전에 ‘출장보고서 문서파일로 위장 악성코드’ 편에서 다뤘던 IP 주소와 동일한 것으로 보아 동일 조직에서 제작된 악성코드로 보인다. 해당 IP 주소에 해당하는 서버는 중국에 위치하고 있다. V3 제품군의 진단명은 ‘Dropper/Win32.Agent’이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>