| [BLACKGUEST의 차이나리포트] 중국 주간 바이러스 보고서 | 2013.09.22 |
트로이 목마의 변종 출현...백신 프로그램과 방화벽 공격 백신 탐지 피하는 ‘Lapka’ 바이러스 주의!
중국 보안 전문가들은 이런 상황에 직면하면 국가 컴퓨터 바이러스 응급 처리 센터에 접수하고 다음의 주의사항을 따르도록 하고 있다. - 이미 해당 목마에 감염된 유저라면 당장 컴퓨터의 백신 프로그램을 업그레이드하길 건의하며 정밀 검사를 통해 치료해야 한다.
바이러스 검사 주간 보고(2013.8.18~2013.8.24) -‘Trojan 다운로더’(Trojan_Downloader) 및 변종 : 이 트로이목마 바이러스는 인터넷 네트워크 망 혹은 인터넷 웹 페이지에 올려서 바이러스를 퍼뜨리는 방식으로 한다. 또한 이 바이러스는 자동으로 백본중의 특정서버에 연결하여 대량의 바이러스를 다운로드 한 후 사용자 컴퓨터 시스템의 중요한 자료를 삭제시킨다. - ‘Trojan 에이전트’(Trojan_Agent) 및 변종 : 이것은 트로이목마 종류인데 매우 많은 변종을 갖고 있다. ‘Trojan 에이전트’ 및 변종을 실행시키면 임시파일에 대량의 바이러스 파일을 넣고 레지스트리를 수정한 뒤 자동으로 실행한다. 그리고 특정서버에 연결해 이미 감염시킨 컴퓨터에 또 다른 바이러스(트로이목마 등) 프로그램을 다운로드한다. -‘그레이 피죤’(Backdoor_GreyPigeon) : 이 백도어 변종프로그램은 예전보다 더욱더 은폐성이 뛰어나고, 또한 운영체제 중에 잘 쓰이는 프로그램으로도 위장할 수 있다. 만일 바이러스가 들어있는 파일명을 ‘파일명+스페이스.exe’ 혹은 이 이름의 확장명.exe를 삭제하면 바이러스가 들어있는 파일이 운영체제 중에 있는 프로그램으로 위장할 수가 있다, 또한 아이콘도 원래 있는 프로그램과 같다. - ‘USB 바이러스’(Worm_Autorun) 및 변종 : 이 바이러스는 한 개의 USB를 이용해서 퍼뜨리는 방식으로 한다. ‘autorun.inf’파일은 대부분 USB, MP3, 이동식 드라이브 목록에 각각 있으면서 사용자가 USB를 더블 클릭해 컴퓨터 안에 설치를 할 때 이 파일은 윈도우시스템에서 자동실행기능을 이용해 실행하게 된다, 그러면서 안에 들어있는 바이러스를 설치하게 되고 사용자의 컴퓨터를 다운시키며 사용자에게 큰 손실을 만든다. - ‘Hack_Kido’ 및 변종 : MS08-067 마이크로소프트에 빈틈을 이용해 공격하는 해커프로그램이다. 이 프로그램은 직접 공격 선언을 해야 공격을 시작한다. 공격 쓰레드는 무작위로 IP주소를 생성하여 이 IP에 공격을 한다. 감염시킨 후, 시스템을 자동종료 시키고, ‘보안중심’, ‘WinDefend’ 등 서비스를 새로고침 해서, 안에 있는 레지스트리를 삭제해서 ‘보안센터’와 ‘WinDefend’를 더 이상 사용하지 못하게 만든다. 이미 감염된 시스템은 계속해서 마이크로소프트와 보안소프트웨어 웹사이트를 방문할 수 없게 된다. 바이러스 동향 분석 이와 같은 결과에 대한 분석을 통해 앞에 3가지 바이러스 프로그램 순위가 바뀌었다. 저번 주에 비해 앞에 3개의 바이러스 프로그램수가 비교적 적게 발견되었으며 새로 증가된 바이러스수도 낮아졌다. 며칠 사이 구글 크롬 29.0.1547.57이전 버전에 보안결함이 많이 발견되었다. 구글 크롬은 구글 회사에서 개발한 간편하고 효율적인 웹 서핑프로그램이다. 구글 크롬 29.0.1547.57이전의 버전에 매우 많은 보안결함이 발견되었으며 해커들이 이 결함을 이용해서 사용자의 정보를 유출시키거나 바이러스를 침투했다. 현재, 이 결함을 해결해서 업데이트 버전을 구글 홈페이지(www.google.com)에 올려 놓았다. 바이러스에 대한 대비책 - 웹 사이트 관리자는 웹사이트의 실시간 감시를 강화하고 주기적으로 웹 페이지상에 올린 파일(만든이, 업데이트날짜, 자료 크기 등)을 비교하며 만약 이상한 파일이 발견되었을 경우 바로 삭제를 하고 새로 업데이트를 해야 한다. 또한 주기적으로 보안프로그램을 업그레이드를 하며 서버에 생긴 보안 문제점을 검사해야 한다. - 비교적 중요한 웹 페이지(정부 웹 페이지, 대용량 프로그램이 있는 웹 페이지)는 해커들의 공격대상이 되기 쉽다. 우리 응급 센터에서 알맞은 조치를 취하고 중요 웹 페이지 검사체제를 만들어서 바로 문제점을 찾기 쉽게 해야 한다. - 컴퓨터 사용자는 인터넷 웹 페이지에 있을 때 항상 실시간 바이러스 감지 프로그램을 켜놓고 항상 보안프로그램을 최신 업데이트상태로 유지시켜 트로이목마 등 바이러스의 침투를 막아야 한다. - 보안 프로그램은 항상 최신 업데이트상태로 유지해야 한다. - 출처를 알 수 없는 파일은 절대로 바로 열지 않는다. - USB를 이용할 때 파일을 넣기(혹은 전달)전에, USB(혹은 파일)에 바이러스가 있는지 먼저 검사해야 한다. - 인터넷 그리고 시스템에 문제가 발견 되었을 때, 바이러스 보안 센터 혹은 보안전문가에게 연락해야 한다. 라이징 보안 주간 보고서(2013.08.26~2013.09.01) 중국의 백신업체 라이징은 트로이 목마, 바이러스 등이 시스템 프로세스에 주입되어 개인정보 보안에 주의할 것을 당부했다. 라이징 클라우드 보안 시스템의 통계에 따르면 이번 주에 라이징에서 수집한 피싱 사이트가 354,832개에 달하며 약 123만 네티즌이 피싱 사이트의 공격을 받았다. 이번 주는 ‘Lapka’라고 하는 바이러스를 주의해야 한다. 바이러스가 실행되면 정상적인 서비스 프로세스에 악성코드를 주입하고 자아삭제가 되어 백신 검출을 피한다. 이번 주에 주의해야 할 피싱 사이트는 다음과 같다. - 보이스 오브 차이나로 위장한 피싱 사이트 : www.khdcn.com - 온라인게임 거래 사이트로 위장한 피싱 사이트 : www.jinxiu998pt.com - Tencent 회사로 위장한 피싱 사이트 : www.qqqak.com 이와 같은 피싱 사이트들은 사회 공학적 방법으로 네티즌의 인터넷 뱅킹 자료와 개인정보를 탈취하기 때문에 사용자들은 주의해야 한다. 특히, 이번 주에 주의해야 할 바이러스는 ‘Trojan.Win32.Lapka.a’로 바이러스가 실행되면 악성코드를 ‘Svhost.exe’ 프로세스에 원격 주입한다. 그리고 자신 프로세스를 끝내 ‘은신’의 목적을 달성한다. 동시에 바이러스는 새로운 프로세스를 열고 CMD의 Del명령으로 바이러스의 파일을 삭제해서 백신의 검출을 피한다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
이 변종 프로그램이 실행되면 끊임없이 운영체제의 백신 프로그램과 방화벽을 공격하고 부팅시 로그온 정보를 변종시키며 컴퓨터가 부팅되면 동시에 실행된다. 뿐만 아니라 컴퓨터가 정상적인 방법으로 안전모드에 들어갈 수 없게 만든다.