2020-10-30 05:25 (금)
중국 유명 신문사 웹사이트 통해 VBS/Ramnit 웜바이러 감염…확산 주의
상태바
중국 유명 신문사 웹사이트 통해 VBS/Ramnit 웜바이러 감염…확산 주의
  • 길민권
  • 승인 2016.03.01 13:59
이 기사를 공유합니다

IE 통해 해당 신문사 사이트 방문하면 사용자 PC에 VBScript 웜 바이러스 복제돼
최근 중국의 5대 신문사 중 하나로 손꼽히는 특정 신문사 사이트에서 VBScript 웜 바이러스가 발견되었다. 비록 관련 바이러스 제작자는 이미 검거된 상황이지만 널리 배포된 악성 소프트웨어는 지금도 악용되고 있다. 만약 IE 웹브라우저를 통해 관련 신문사 사이트를 방문하면 사용자 PC에 VBScript 웜 바이러스가 지속적으로 복제된다.
 
파이어아이(FireEye)의 Dynamic Threat Intelligence에서 올해 1월 28일, 처음으로 VBS/Ramnit 실행상황을 발견하였다. 만약 사용자가 특정 페이지에 접속 후 “yes”를 클릭하여 액티브X를 실행하면 문제가 발생한다.
 
위 그림과 같이 HTML 코드 뒷 부분에 악의적인 VBScript가 추가되었다. 이 페이지에 접속하면 웹브라우저는 평소와 마찬가지로 뉴스내용을 리딩하며 백그라운드에서 Activex 컨트롤을 실행한다.
 
또한 VBScript는 TEMP 폴더에 “svchost.exe”라는 바이너리 파일을 중지 및 Activex를 실행한다. 가령 이 시스템이 파괴되어도 관련 목마와 연결된 CNC서버와 접촉을 시도한다. VBScript의 실행과 w32.ramnit의 전송은 사용자의 웹브라우저 및 웹브라우저 설정으로 결정된다. 다시 말하면 크롬(chrome)과 파이어폭스(Firefox)는 VBScript 클라이언트를 지원하지 않기 때문에 IE 사용자가 공격 대상이다.
 
다행인 것은 최신 IE버전은 자동으로 코드를 실행하지 않으며, Activex 컨트롤 설치 시 경고 메시지가 나타난다. 이때 사용자가 “yes”를 클릭하면 IE는 백그라운드에서 VBScript를 실행하게 된다. 물론 이 과정은 사용자가 볼 수 없다. 즉 “no”를 클릭하면 공격은 실패로 돌아간다. 그러나 상당한 감염자가 존재하는 이유는 대형 사이트가 사용자들에게 신뢰를 주기 때문에 다수 사용자는 의심하지 않고 “yes”를 클릭하게 된다.
 
현재 파이어아이는 관련 분석을 통해 완전한 공격패턴과 CNC통신을 추적하였다. 비록 CNC서버의 사용은 중지되었지만 웜 바이러스는 여전히 전파되면서 사용자들에게 피해를 주고 있는 상황이다. 국내 기업 뿐만 아니라 개인 PC 사용자들도 주의해야 한다. (자료제공. 씨엔시큐리티)


★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com