사용자가 바로가기 키 입력시마다 악성코드 자동 실행

[보안뉴스 김지언] 금융정보 탈취 목적의 악성코드가 점점 더 다양해지고 고도화됨에 따라 이에 따른 보안위협도 증가하고 있다. 이와 관련 URL 파일에 Space, Enter 등 사용자들이 자주 사용하는 키를 바로가기 키로 설정한 뒤 사용자가 이를 입력할 때마다 악성코드가 자동 실행되는 방식의 악성코드가 등장했다.

하우리에 따르면 취약한 웹사이트 등을 통해 다운로드된 백도어 악성파일 ‘sochvst.exe’가 실행되면서 ‘C:\\Documents and Settings\\Administrator\\시작 메뉴’에 URL 파일을 생성한다.

이 URL 파일에는 Space, Enter 등 사용자들이 자주 사용하는 키를 바로가기 키로 등록되어 있으며, 바로가기 키가 입력값으로 들어오면 특정 URL을 실행하도록 되어 있다. 이에 사용자가 악성파일에 감염된 이후 컴퓨터를 재부팅했을 때 URL 파일에 설정된 바로가기 키를 입력하면 자동으로 sochvst.exe 파일이 실행된다.

하우리 김정수 센터장은 “악성코드가 백도어 기능을 가지고 있기에 원격제어·화면 캡쳐·소리 감청 등이 가능하다”며 “해커가 이러한 기능을 활용해 사용자들의 금융정보까지 가져갈 수 있으므로 매우 위험하다”고 밝혔다.

이 악성코드에 감염된 사용자가 정상적으로 윈도우를 사용하려면 두 가지 방법이 있다. 먼저 백도어 악성코드 파일인 sochvst.exe뿐만 아니라 URL 파일까지 모두 제거하는 것이다.

이 때 백도어 악성코드는 제거했으나 URL 파일을 삭제하지 않은 경우 해당 URL 키에 작성된 바로가기 키가 입력될 때마다 ‘C:\Program Files\Common Files\sochvst.exe을 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오’라는 오류가 발생할 수 있으므로 주의해야 한다.

또 다른 방법은 악성코드 감염 피해를 최소화하기 위한 예방책이기도 하다. 항상 백신을 최신 버전으로 유지하고 주기적으로 검사해야 한다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>