2020-12-05 14:55 (토)
토렌트로 받은 성인영상 파일에 DDoS 공격용 악성코드가…
상태바
토렌트로 받은 성인영상 파일에 DDoS 공격용 악성코드가…
  • 데일리시큐
  • 승인 2015.05.16 09:45
이 기사를 공유합니다

울지않는 벌새 “토렌트로 동영상 파일 다운로드시 파일유형 꼭 확인해야”
국내 인터넷 사용자를 대상으로 서비스가 이루어지고 있는 성인 토렌트에 등록된 동영상 파일을 다운로드해 실행할 경우 추가적인 악성 파일 다운로드를 통해 DDoS 공격, 정보 유출 등의 백도어 기능을 수행하는 행위가 확인돼 이용자들의 주의가 요구된다.
 
보안블로그 ‘울지않는 벌새’는 “해당 토렌트 사이트에 등록된 시드 파일(.torrent)을 통해 다운로드되는 파일을 확인해보면 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif"(이미지) 확장자명을 가진 파일임을 알 수 있다”며 “실제 다운로드가 완료되는 순간 모 안티바이러스 제품에서는 실시간 검사를 통해 Trojan/Win32.Generic.C238008 진단명으로 차단이 이루어지고 있다”고 설명했다.  
 
만약 실시간 검사 기능을 통해 차단되지 않은 경우 백신의 경우 일반적인 동영상 파일에 대해서는 마우스 우클릭 검사를 수행할 수 있지만, 다운로드된 해당 파일은 마우스 우클릭 검사를 수행할 수 없는 것으로 조사됐다.  
 
특히 다운로드된 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi.pif" 파일은 윈도우 탐색기를 통해 확인해보면 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi" 동영상 파일처럼 표시되지만 실제로는 ‘MS-DOS 프로그램으로 바로 가기’ 파일(.pif)이다.
 
울지않는 벌새는 동영상 파일로 위장한 악성 파일 내부를 확인해보면 정상적인 성인 동영상 파일과 함께 시스템 감염을 유발하는 쿠르마자료.pif (MS-DOS 프로그램으로 바로 가기) 악성 파일이 포함되어 있다고 전했다.
 
사용자가 다운로드된 해당 파일을 동영상 파일로 착각해 실행할 경우 사용자 계정 컨트롤(UAC) 알림 기능이 활성화된 PC 환경에서는 실행 여부를 묻는 창이 생성되어 눈치챌 수 있다.
 
파일 실행을 통해 화면상에 표시되는 모습은 동영상 재생 프로그램을 통해 "[국!nO]돈벌려고 이걸택하기엔 너무 아리따운뇽 !! 완벽에 가깝네.avi" 파일이 재생되어 사용자는 정상적인 동영상으로 판단하게 된다.  
 
이 과정에서 "C:Users(사용자 계정)AppDataRoaming쿠르마자료.pif" 악성 파일은 백그라운드 방식으로 사용자 몰래 악의적인 기능을 수행할 수 있다.
 
일본(Japan)에 위치한 "hae2djxor.ddns.net:" 서버(191.238.85.210)에서 10개의 파일을 다운로드 시도하며 테스트 당시에는 3개의 악성 파일이 등록되어 다운로드가 진행되고 있는 것으로 나타났다.
 
다운로드된 악성 파일은 가상 환경(VMware, VirtualPC, Sandboxie, Oracle VM VirtualBox)을 체크해 분석을 방해할 목적으로 실행이 이루어지지 않도록 제작되어 있으며, 정상적으로 감염된 경우에는 다운로드된 파일은 자가 삭제 처리된다.
 
다운로드된 7.pif 파일이 실행되면 윈도우 폴더 내에 랜덤한 파일명으로 자신을 복사한 후 원본 파일은 자가 삭제 처리된다. 서비스 이름 및 표시 이름은 랜덤하게 생성될 수 있다. 또 서비스 항목을 등록해 시스템 시작시 "C:Windowsvmjfmc.exe" 파일이 자동 실행되어 메모리에 상주하도록 구성되어 있다.
 
울지않는 벌새는 “이를 통해 메모리에 상주하는 C:Windowsvmjfmc.exe 악성 파일은 일본과 중국에 위치한 서버와 통신을 유지한다. 이 과정에서 감염된 PC의 운영 체제 종류, 메모리, CPU, 네트워크 환경 등 시스템정보를 전송한다”며 “이후 상당 시간 경과 후 C&C 서버로부터 특정 웹 사이트 정보를 받아올 경우 DDoS 공격이 진행되는 모습을 확인할 수 있다. 해당 웹 사이트는 중국에 위치한 해킹/보안 포럼 사이트로 추정된다”고 설명했다.  
 
그는 “이번 악성코드 유포와 같이 토렌트(Torrent)를 통해 동영상 파일을 다운로드할 때에는 파일 확장자 뿐만 아니라 파일 유형(Type)을 반드시 확인해 수상한 파일 확장자를 가진 파일은 절대로 실행하는 일이 없도록 주의해야 한다”고 당부했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com