성인 동영상으로 위장한 악성파일 기승!
최근 성인 동영상 파일로 위장한 악성파일이 웹 하드 사이트 등을 통해서 지속적으로 유포가 이루어지고 있다. 지난번에도 블로그를 통해 공개한 바 있듯이 유포처가 주로 국내 웹 하드 사이트이고, 해당 악성파일이 자극적인 내용의 파일명으로 위장되어 있어 일반 사용자들의 경우 인터넷을 통해 파일을 다운로드할 때 각별한 주의가 필요한 상태이다.특히 이러한 성인 동영상 위장형 악성파일의 경우 파일 크기가 일반적인 동영상 파일 크기 수준이며, 확장명이 .exe 형태이나 실행 시 .avi 등의 동영상 파일을 재생하는 것이 특징이므로 이점 또한 참고할 수 있도록 하자.
[주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다.
-erteam.nprotect.com/254
◇유포 경로 및 감염 증상
이번에 발견된 해당 악성파일 또한, 이전과 마찬가지로 국내 웹 하드 사이트를 중심으로 유포가 이루어졌으며, 실제 유포중이었던 일부 웹 하드 사이트에서는 관련 게시글이 삭제된 상태이다.
![](/news/photo/201204/2096_1179_5500.jpg)
해당 악성파일은 위 그림과 같이 동영상 파일과 관련된 아이콘으로 위장하고 있으며, 일단 감염되면 "특정 외부 사이트와 지속적인 통신을 시도하는 등 Backdoor 및 Bot 형태의 감염 증상", "특정 웹 사이트로의 자동 접속" 등 두가지 형태의 감염 증상을 보이고 있다. 다만, 특정 웹 사이트로의 자동 접속을 유발하는 경우에는 성인 동영상에 대한 재생이 이루어지지 않는다.
-사례1
사례1은 외부 사이트와의 지속적인 통신을 시도하는 악성파일의 경우이며, 추가적인 악성파일의 생성 및 루트킷, 악성 서비스 등록 등의 감염 증상을 유발한다.
아래는 감염 시 생성되는 추가적인 악성파일에 대한 설명이다.
※ 생성파일
- (사용자 임시 폴더)~__UNINST.EXE (100,840,764 바이트, 숙주파일의 복사본)
- (사용자 임시 폴더)~pmThis.tmp (100,840,764 바이트, 숙주파일의 복사본)
- (사용자 임시 폴더)(성인) 여대생꼬셔모텔에서.avi (정상적인 동영상 파일)
- (사용자 임시 폴더)Server.exe (40,960 바이트, 서비스 등록)
- (윈도우 시스템 폴더)driversGTHOOK.sys (7,168 바이트, 루트킷 기능 : server.exe 숨김/보호기능)
▶(사용자 임시 폴더)란 일반적으로 "C:Documents and Settings(사용자계정)Local SettingsTemp"를 말한다.
▶(윈도우 시스템 폴더)란 일반적으로 "C:WINDOWSsystem32"를 말한다.
해당 악성파일은 감염 시 자신의 복사본(~__UNINST.EXE, ~pmThis.tmp)을 생성하게 되며, 이렇게 복사된 파일들을 해당 위치에서 그대로 실행하게 된다. 그후 실행된 악성파일 내부에 포함되어 있는 성인 동영상 파일을 "사용자 임시 폴더"에 추가적으로 생성한 후 해당 동영상 파일을 재생한다.
![](/news/photo/201204/2096_1180_5500.jpg)
위 그림은 내부에 포함된 동영상 파일을 실행하기 위한 일부 구문이며, 아래의 그림과 같이 동영상 파일이 이상없이 재생 되는 것을 확인할 수 있다.
![](/news/photo/201204/2096_1181_5500.jpg)
위와 같은 동영상 파일이 재생됨과 동시에 해당 악성파일은 "server.exe" 라는 추가적인 악성파일을 생성 및 실행하게 된다. 아래의 그림은 동영상 파일과 server.exe 악성파일에 대한 실행 분기를 나타내는 일부 구문이다.
![](/news/photo/201204/2096_1182_5500.jpg)
server.exe 는 실행되면 "GHOOK.sys"와 같은 악성파일을 추가적으로 생성하게 되며, 자신을 서비스로 등록 한다.
![](/news/photo/201204/2096_1183_5500.jpg)
일반적으로 등록된 서비스들이 매우 많기 때문에 악성코드가 등록한 서비스를 육안상으로 구별하기는 어렵다. 더군다나 해당 악성파일은 위 그림과 같이 서비스에 대한 설명 부분을 등록해 정상적인 서비스 값으로 위장하고 있어 일반 사용자의 경우 사실상 악성 여부를 판별하기는 힘들다고 볼 수 있다.
![](/news/photo/201204/2096_1184_5500.jpg)
위 그림은 server.exe 악성파일이 지속적으로 외부 사이트와 통신을 시도하는 TCP 정보이며, 이를 통해 Backdoor 기능 수행 및 상황에 따라 Bot 기능을 수행할 수 있을 것으로 추정된다. 아래의 그림은 접속을 시도하는 IP에 대한 위치 추적 결과이다.
![](/news/photo/201204/2096_1185_5500.jpg)
또한, server.exe 악성파일에 의해 생성되는 "GHOOK.sys"는 루트킷 기능을 수행하며, UNICODE 값을 파싱 후 조건에 따라 "윈도우 시스템 폴더"에 존재하는 server.exe 파일에 대한 프로세스 숨김 기능 및 파일 보호 기능을 수행하게 된다.
-사례2
사례2는 특정 웹 사이트에 대한 자동 접속 기능을 수행하는 경우로 해당 악성파일을 실행하게 되면 아래의 그림과 같은 알림 창을 띄우게 된다.
![](/news/photo/201204/2096_1186_5500.jpg)
"확인" 버튼을 클릭하게 되면, 아래의 그림과 같은 성인 화상채팅 사이트로 자동 접속하게 된다.
![](/news/photo/201204/2096_1187_5500.jpg)
현재까지 위와 같은 해당 사이트 등에서 추가적인 악성파일을 유포하고 있지는 않지만, 언제든지 악의적인 목적에 의해 악성파일 유포를 시도할 수 있기 때문에 위와 같은 사이트 접속 시에는 반드시 주의가 필요하다.
◇예방 조치 방법
위와 같은 악성파일들의 경우 자극적인 내용을 통해 다운로드 및 실행을 유도하기 때문에 일반 사용자의 경우 쉽게 현혹되어 감염상황을 유발할 수 있다. 또한, 실행 시 정상적으로 성인 동영상을 재생해주며, 현재 운영중인 웹 하드 사이트에서 배포되기 때문에 널리 알려진 웹 하드 사이트에 해당 악성파일이 업로드되면 수많은 사용자들의 PC가 감염될 수 있다.
때문에 이와 같은 악성파일로부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.
<보안 관리 수칙>
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.
[글. 잉카인터넷 시큐리티대응팀]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#악성코드
저작권자 © 데일리시큐 무단전재 및 재배포 금지