자바·인터넷 익스플로러 취약점 이용한 Drive by Download 방식 유포

[보안뉴스 김경애] 최근 윈도우 정상 시스템 파일을 이용한 파밍 악성코드가 증가하고 있다.

이와 관련 SGA는 “해당 악성코드는 2013년 8월경 발견되었던 금융정보 탈취 악성코드의 변종으로 보여진다”며, “현재까지 지속적으로 유포되어 왔지만 최근 그 수가 증가하고 있는 추세로 유포 형태는 JAVA, Internet Explorer 등의 취약점을 이용해 특정 웹사이트  접속 시 Drive by Download 방식으로 유포되고 있는 것으로 판단된다”고 밝혔다.

이번 변종은 윈도우 정상 시스템 파일인 ‘rundll32.exe’ 파일을 이용한다는 점에서 이전 악성코드와 동일하지만 시스템 재감염 방식에 차이가 있다. 이전 악성코드가 바로가기 파일을 이용하였다면 이번에는 rundll32.exe 파일을 직접적으로 시작프로그램에 등록해 재부팅 시 악성 라이브러리 파일을 실행한다.

해당 악성코드가 실행되면 [그림 1]과 같이 랜덤명의 폴더를 생성 한다. 생성된 폴더에 rundll32.exe 파일을 MUpdate.exe라는 이름으로 복사하며, 이를 이용해 악성 라이브러리 파일을 실행한다.

실행된 라이브러리 파일은 우선 시스템 재부팅 시 다시 실행되도록 시작 프로그램에 [그림 2] 와 같이 MUpdate.exe를 ‘ALSTS_ExecuteAction’이라는 인자 값으로 등록한다.

감염 된 시스템에서 정상 사이트 접속 시 [그림 4]와 같이 보안 경고창을 팝업 시켜 피싱 사이트로 유도하는 형태이며, 피싱 사이트에서 사용자 입력을 통해 금융정보를 탈취하고 있으니 각별히 주의해야 한다.

△예방 및 조치방법

1. MS, JAVA, Adobe와 같은 프로그램의 취약점을 이용해 유포되기 때문에 항상 최신 보안 업데이트 적용 여부를 확인해야 한다.

2. 신뢰되지 않은 웹사이트(URL)의 접속을 자제해야 한다.

3. 출처가 불분명한 이메일 열람 및 첨부파일에 대한 다운로드/실행을 자제해야 한다.

4. 현재 바이러스 체이서 제품군에서는 관련 악성코드에 대하여 진단하고 있으므로, 항상 최신 패턴으로 업데이트를 진행하시고 실시간 감시를 활성화해야 한다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>