[보안뉴스 김경애] 전세계 450여 금융기관 사용자를 노리는 제우스 트로잔(Zeus Trojan)과 카버프(Carberp)의 특징을 합친 새로운 트로이목마 프로그램 ‘Zberp’가 발견돼 주의가 요구된다.

IBM의 보안 전문 자회사 Trusteer 연구원들이 이름 붙인 ‘Zberp’는 지난 2월 발견된 ‘ZeusVM’와 특징이 거의 유사한 변종으로 보고 있다.

‘Zberp’은 ZeusVM 악성코드처럼 스테가노그래피 기법을 활용하고, 안티멀웨어(Anti Malware) 프로그램 탐지를 피하기 위해, 애플 로고 모양 이미지에 악성코드를 숨기는 특징이 있다.

Zberp 트로이 목마의 주요 기능은 원격제어를 통해 감염된 PC의 화면을 캡처, FTP와 POP3 인증서 및 기밀 정보 탈취, IP주소, 이름 등 정보를 각종 정보를 탈취한다.

또한 안티멀웨어의 탐지를 피하기 위해 ZeusVM의 Windows 레지스트리 키삭제 기능과 온라인 뱅킹 악성코드인 Carberp의 우회 기능 등을 사용한다. 이는 인자 값을 1바이트만 바꾸고 의미 없는 명령어 한 줄을 추가하는 등의 행위를 통해 우회가 가능하다.

이와관련 좀더 자세한 사항은 인터넷침해대응센터 홈페이지(http://www.krcert.or.kr/)를 참고하면 된다.

[용어설명]

제우스 트로잔(Zeus Trojan) : 컴퓨터에 보존된 개인정보나 금융정보를 빼내기 위해 제작된 악성코드

카버프(Carberp) : 은행관련 정보를 전문으로 빼내는 악성 소프트웨어

스테가노그래피 : 이미지 파일에 특정 메시지나 악성코드를 삽입하는 기법

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>