exe, scr 확장자의 파일 감염시키고, 키로깅·백도어 기능도 수행

[보안뉴스 김경애] 개인정보 유출사고가 2014년 상반기를 휩쓴 가운데 공인인증서와 보안카드 등 개인정보를 노린 악성코드가 급증하고 있어 주의가 요구된다.

SGA 측은 “최근 사용자 입력정보를 가로채는 ‘키로깅’ 기능을 지닌 감염형 바이러스가 발견됐다”며 “감염형 바이러스는 다른 정상 파일에 악의적인 행위를 포함한 코드를 삽입하는 바이러스이기 때문에 각별히 주의할 것”을 당부했다.

이번 바이러스는 해킹된 국내 블로그를 통해 유포됐으며, 최근 발생된 파밍 바이러스들과 유사한 음료수 캔 모양의 아이콘을 사용하고 있다. 바이러스의 특징으로는 exe, scr 확장자의 파일을 감염시키는 기능을 가지고 있으며, 추가적으로 키로깅 및 백도어 기능을 수행한다.

감염된 exe, scr 파일은 위 표와 같이 크기가 증가하며, 감염된 파일 실행 시 다른 파일을 감염시키는 행위를 하거나 파일이 손상되어 정상 실행이 되지 않을 수 있다.

악성코드가 생성한 dll 모듈은 ‘Mnopqr Tuvwxyab Def’명의 서비스로 동작하며, 시스템 프로세스를 제외한 모든 프로세스에 dll를 인젝트한다.

인젝트 된 dll은 사용자 프로세스와 키보드 입력값을 감시하며(키로깅), ‘LruNpstf.dsy’에 모든 정보를 암호화해 기록한다. 또한 특정포트를 열어 백도어 기능을 수행하고, C&C 서버와 지속적 통신을 한다.

뿐만 아니라 수집된 정보를 C&C 서버로 전송하거나 명령을 받을 수 있으며, 추가적인 악성코드를 다운로드해 2차 감염의 가능성도 예상된다는 게 SGA 측의 설명이다.

이와 관련 SGA 측은 “C&C 서버는 중국 IP로 확인됐고, 현재도 차단되지 않고 사용 중”이라며 “이번 감염형 바이러스는 새로 나타난 유형의 감염형 바이러스는 아니며, 감염형 기능에 키로깅, 백도어 기능이 추가된 악성코드”라고 밝혔다. 따라서 다른 파밍 바이러스와 함께 사용될시 더 큰 피해가 예상되므로 각별한 주의가 필요하다고 당부했다. 

[예방 및 조치 방법]

1. <!--[endif]-->윈도우및 응용 프로그램의 보안 업데이트를 최신화하고, 최신 버전 여부를 수시로 확인한다.(자동 업데이트 권장)

2. <!--[endif]-->바이러스체이서의 실시간 감시기능을 활성화 한다.

3. <!--[endif]-->신뢰되지않은 사이트의 접속을 자제한다.

4. <!--[endif]-->UAC(사용자 계정 컨트롤)를 활성화해 사용한다. (Windows7 기준)<!--[if !supportLists]-->

5. <!--[endif]-->출처가 불분명한 이 메일의 첨부파일 열람을 금지한다.

6. 서비스 목록에서 ‘Mnopqr Tuvwxyab Def’ 서비스명으로 감염여부 확인이 가능하며, 감염 시, 네트워크 차단 후 백신 정밀검사로 치료해야 한다(2차 감염 및 정보유출예방).

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>