파일 진입점 변경, 악성코드 진입점이 우선 실행되도록 변조

[보안뉴스 민세아] 사용자의 정보를 탈취하고 악성코드를 추가로 다운로드 받는 변조된 악성 한글 프로그램 파일이 발견됐다. 악성코드 제작자가 동일한 유형의 변종 악성코드를 다수 배포하고 있고, 한글 프로그램뿐만 아니라 다른 프로그램도 변조의 대상이 될 수 있어 사용자와 관리자의 주의가 요구된다.


보안전문기업 하우리(대표 김희천)에 따르면 10월 중순 경 발견된 악성 한글 프로그램은 감염된 PC의 시스템 정보를 탈취하고 연결된 서버에서 악성코드를 추가로 다운로드 받는다는 사실이 밝혀졌다.

해당 악성 한글 프로그램 파일들은 정상적인 파일 진입점(OEP)을 변경해 악성코드 진입점(New EP)이 우선 실행되도록 변조됐다. 정상 파일에 악성코드를 심어 변조할 경우 정상적으로 한글 파일을 실행하고 사용하는 데 지장이 없고, 백그라운드로 악성행위를 수행하도록 제작되어 있어 파일의 변조 여부를 파악하기가 어렵다.


또한 악성코드를 다운로드하고 감염된 사용자의 시스템 정보를 유출해 악성코드 제작자가 미리 만들어놓은 서버로 전송하는 것으로 확인됐다. 시스템 정보 유출 항목은 △감염 시스템의 정보 △연결 중인 IP 및 포트 번호 출력 △네트워크 연결 목록 △최근 사용 파일 목록 △사용자 계정 정보 △즐겨찾기 파일 목록 △실행 중인 프로세스 정보 등이다.

변조된 악성 한글 프로그램 파일은 악성코드의 은닉이 쉽고 탐지가 어렵기 때문에 장시간 잠복이 가능하다. 특히 한글 프로그램은 국가기관이나 공공기관에서 많이 사용하기 때문에 감염 시 기밀문서나 중요 시스템 정보들이 유출될 우려가 있다.


하우리 CERT실에서는 “최근 치명적인 악성코드들이 웹이나 메일을 통해서 대량 유포되고 있어 엔드포인트 보안 강화가 중요시 되고 있다”며, “PC 사용자들의 상시적인 보안교육과 함께 보안의식을 고취시키고 각종 취약점의 최신 보안패치와 대응 솔루션을 마련하는 것이 중요하다”고 덧붙였다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>