국내 유명 온라인 게임의 악의적 변칙 플레이 등에 이용되는 이른바 게임 핵툴(Game HackTool) 도구나 게임 동영상과 관련된 것처럼 조작해 불특정 다수의 게임 이용자들을 현혹시킨 후 최신 악성파일에 감염되도록 유도하는 보안위협이 국내에서 다수 발생하고 있다.
 
잉카인터넷 대응팀 관계자는 “이러한 형태의 보안위협이 최근 국내 온라인 게임 이용자들을 표적으로 은밀히 진행되고 있어 각별한 관심과 주의가 요망된다”며 “악성파일에 감염될 경우에는 악의적인 공격자에 의해 원격제어 및 온라인 게임 계정 유출 등의 피해를 입을 수도 있고 일명 좀비 PC가 되어 또 다른 컴퓨터에 피해를 가할 수 있는 DDoS 공격용 컴퓨터로 전락할 가능성도 있다”고 경고했다.  
 
악성파일 유포자들은 국내 유명 온라인 게임사이트에서 운영하는 공개된 자유게시판이나 활동 및 인기지수가 높은 일반 커뮤니티 게시글 등의 댓글을 통해 특정 온라인 게임과 관련된 사이트처럼 위장된 URL 주소를 등록한 후 사용자들의 클릭을 유도하는 수법을 사용하고 있다.
 
클릭을 유도하고 있는 웹 사이트의 경우 무료 도메인 서비스를 이용하고 있으며 다양한 이름으로 만들어져 사용되고 있는 상태다.
 
사용자가 해당 게시글에 포함된 URL 주소를 클릭하게 되면 새창으로 연결이 시도되고, 마치 마이크로소프트에서 사용하는 Dynamic HTML Editing Control 추가기능 실행 명령처럼 보여지는 사진파일(GIF)을 보여준다. 특징적으로 GIF 이미지를 이용해서 처음 접속시 깜빡이는 애니메이션 효과까지 보여주는 주도 면밀함을 보여주고 있다. 
 
사용자가 조작된 다양한 사이트로 접속하고, ActiveX Control로 오해를 하거나 추가 기능 설치 요구화면으로 오해해 GIF 그림파일 부분을 마우스로 선택하고 클릭할 경우 국내 특정 도메인에 등록되어 있는 악성파일이 다운로드 되는 것이다.
 
해당 악성파일이 등록된 블로그는 고의적으로 악성파일 등록을 위해서 제작된 것으로 추정되며, 국내에서 무료로 가입이 가능한 웹 사이트다. 또한 해당 사이트에는 불법적인 게임과 관련된 내용이 게시되어 있는 상태다.
 
다운로드 시도되는 "안전한사이트실행을위한_Active_X.exe" 파일명을 보면 알 수 있듯이 악성파일 유포자는 사용자로 하여금 ActiveX Control 기능과 관련된 내용처럼 조작하고 있고, 파일의 아이콘은 구글 크롬처럼 위장하고 있다.
 
해당 파일은 Nullsoft Scriptable Install System 방식으로 압축되어 있으며, 내부에 2개의 파일이 바인딩되어 있다. "안전한사이트실행을위한_Active_X.exe" 처럼 동일한 파일명의 또 다른 악성파일과 "KCleaner1.exe" 파일명의 악성파일이 포함되어 있는 것이다.
 
내부에 포함되어 있던 "안전한사이트실행을위한_Active_X.exe" 파일이 실행되면 시스템폴더에 "firefox.exe" 이름의 악성파일을 생성하고, "KCleaner1.exe" 파일이 실행되면 드라이브 루트경로에 "asd.exe", "KCleaner.exe" 파일을 생성하고 실행한다.
 
여기서 "KCleaner.exe" 파일은 국내에서 제작 배포 중인 "윈도우클리너 v 2.0"이라는 정상적인 유틸리티 프로그램이다. 악성파일 유포자는 정상적인 윈도우클리너 프로그램처럼 보이도록 하기 위해서 정상파일과 악성파일을 교묘하게 결합한 방식을 사용한 것이다.
 
악성파일 제작자는 정상적인 프로그램을 동시에 실행하도록 하여 사용자를 속이기 위한 목적으로 악용했다. 따라서 일반 사용자들은 정상적인 프로그램으로 인식하고 자신의 컴퓨터에 자신도 모르게 악성파일이 설치된 것을 인지하기 어렵게 된다.
 
"asd.exe" 파일은 임시폴더에 자신의 복사본을 "svchost.exe" 파일명으로 생성하고, 키보드 메시지 전역 훅을 통해서 실행 중인 프로그램들을 대상으로 키로깅(Key Logging) 기능을 수행한다. 또한 키로그 파일은 Application 경로에 년월일 등을 포함한 형태로 저장된다.
 
또한 악성파일은 중국의 특정 사이트로 접속해 다수의 악성파일 추가 설치를 시도하는데, 이 중에는 DarkShell 등으로 알려져 있는 백도어 형태의 악성파일이 설치된다.
 
Backdoor 형태의 악성파일은 C&C 명령을 통해서 다양한 기능의 원격제어 및 DDoS 공격 명령 수행 등이 가능하다.
 
이러한 공격을 발견해 리포트한 잉카인터넷 대응팀은 “이와 관련된 다수의 악성파일 유포지와 수법을 분석해 nProtect Anti-Virus 전 제품군에 진단 및 치료 기능을 긴급 업데이트해 제공하고 있다. 이용자들은 최신 버전을 설치해 유사한 악성파일에 노출되지 않도록 주의를 기울여야 한다”고 당부했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com