최근 해외에서 제작된 윈도우, MS오피스, WinRAR 등 유명 소프트웨어 키젠(Keygen) 또는 크랙(Crack) 파일로 위장한 악성코드가 토렌트(Torrent) 등 다양한 방식으로 유포가 이루어지고 있는 것으로 확인돼 주의가 요구된다.
 
보안블로그 ‘울지않는 벌새’(hummingbird.tistory.com)는 28일 “국내 토렌트 사이트를 통해 공유가 이루어짐에 따라 유료 소프트웨어를 불법적으로 사용하려는 사용자들은 쉽게 위험에 노출될 수 있다”며 “크랙 파일은 보안 제품에서 진단될 수 있다는 잘못된 편견으로 인해 진단을 무시할 수 있으므로 주의가 요구된다”고 전했다.
 
이번에 확인된 악성 파일은 윈도우, MS 오피스, WinRAR, 유튜브 다운로더 등의 소프트웨어와 연관되어 있으며, 그 외에도 사용자들이 많이 찾는 다양한 키젠 또는 크랙 파일로 위장되어 있을 것으로 추정된다.

 
해당 블로거는 “이번에 MS Office 2010, 2013 버전에서 사용할 수 있는 인증툴이 토렌트 방식으로 유포되는 것을 다운로드해 확인했으며, 대부분 이들 파일은 ZIP 압축 파일로 배포가 이루어지고 있는 것으로 추정되며 3월 13일부터 해외에서 보고되고 있다”고 밝혔다.
 
블로그 분석 내용에 따르면, 사용자가 해당 파일을 실행할 경우 화면상에서는 아무런 변화가 없으며 오직 악성파일을 생성하는 기능을 수행한다. 또 각종 유료 소프트웨어를 불법적으로 이용할 수 있는 기능은 포함되어 있지 않다.
 
사용자가 다운로드한 압축 파일 내에 존재하는 파일을 실행할 경우 시스템(S), 숨김(H) 속성값을 가진 "C:ProgramDataWinKernel" 폴더를 생성해 내부에 실행한 파일을 자가 복제한다.
 
"C:ProgramDataWinKernel" 폴더 내부를 확인해보면 윈도우 기본 설정에서는 비어있는 것으로 표시되며, 사용자가 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 한 경우에 폴더와 내부 파일(WinKernel.exe)을 발견할 수 있다.
 
생성된 "C:ProgramDataWinKernelWinKernel.exe" 파일은 윈도우 시작시 자동 실행되도록 Winlogon 레지스트리 값에 shell 값을 추가해 자동 실행되도록 구성되어 있다.
 
이를 통해 윈도우 부팅시마다 자동 실행되는 "C:ProgramDataWinKernelWinKernel.exe" 파일은 "ShowSuperHidden" 레지스트리 값을 수정해 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)" 항목을 기본값으로 변경해 악성 폴더 및 파일이 표시되지 않도록 하고 있다.
 
자동 실행되어 메모리에 상주하는 "C:ProgramDataWinKernelWinKernel.exe" 악성 파일은 관리자 권한으로 실행되어 주기적으로 PC에서 발생하는 이벤트 정보를 "C:Users(사용자 계정)AppDataRoamingmsconfig.ini" 파일에 Base64 암호화 방식으로 저장을 하는 키로깅 기능을 수행한다.
 
또한 영국에 위치한 "fbchat.sytes.net (195.191.219.245 :187)" C&C 서버와 지속적인 연결을 통해 정보 유출로 이어질 수 있다.

 
블로거는 “사용자가 악성 파일의 기능 중지 및 삭제를 위해서는 윈도우 작업 관리자를 실행해 WinKernel.exe 프로세스를 찾아 종료해야 하며, 반드시 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 종료를 진행해야 한다”고 권고했다.
 
또 “악성 프로그램 유포를 목적으로 사용자들이 많이 이용할 수 있는 유명 소프트웨어의 키젠, 크랙 파일로 위장해 실행시 감염을 통해 추가적인 악성코드 다운로드, 정보 유출 등의 악의적인 기능을 수행할 수 있다는 점을 유념해야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@gailysecu.com