2012년 11월 12일경 한컴오피스 제품군을 서비스하는 (주)한글과컴퓨터 업데이트 서버(update.haansoft.com)가 외부의 악의적인 해킹으로 인하여 악성코드가 유포되는 행위가 발생하였다는 소식입니다.
이로 인하여 11월 12일 오후경 홈 페이지의 다운로드 등 일부 서비스가 중지되는 사고가 발생하였으며, 현재 글 작성 시점까지 "한컴 자동 업데이트"를 통해 체크되는 업데이트 서버가 연결이 이루어지지 않고 있습니다.
▷ <알약(ALYac) 보안공지> 아래한글 제품의 사용자를 노린 악성코드 주의 (2012.11.12)
▷ <AhnLab 블로그> 안랩, 아래아한글 사용자 노린 악성코드 긴급 엔진 제공 (2012.11.12)
▷ <안랩(AhnLab) 악성코드 정보> Win-Trojan/Keylogger.286816
▷ <바이러스 제로 시즌 2 카페> [유포] 한글과컴퓨터 악성코드 유포 (2012.11.12)
현재 알려진 정보를 종합해보면 기본적으로 한컴 오피스 제품군을 설치한 PC 환경에서는 한컴 자동 업데이트 기능의 기본값(열흘에 한 번 자동 업데이트 체크)을 통해 Windows 시작시 업데이트 서버에 연결하여 업데이트 체크를 하도록 구성되어 있습니다.
이 과정에서 외부 해킹에 의해 업데이트 서버에 등록된 특정 악성 파일을 자동으로 다운로드하여 감염이 이루어졌던 것으로 보입니다.(※ 안랩(AhnLab) 정보에 의하면 2종의 악성 파일이 다운로드되었다고 합니다.)
- C:\Documents and Settings\All Users\Nateon
- C:\Documents and Settings\All Users\Nateon\NvSmart.hlp
- C:\Documents and Settings\All Users\Nateon\OINFOP11.EXE
- C:\Documents and Settings\All Users\Nateon\OInfo11.ISO
- C:\Documents and Settings\All Users\Nateon\OInfo11.ocx
다운로드된 악성 프로그램 설치 파일은 RARSFX 실행 압축으로 제작된 것으로 보이며, "C:\Documents and Settings\All Users\Nateon" 폴더에 다수의 파일을 생성합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Nateon Services
생성된 파일은 "Nateon Services(nhn nateon services)" 서비스 항목을 등록하여 시스템 시작시 OINFOP11.EXE 파일을 자동으로 실행하여 동작하도록 구성되어 있습니다.
이를 통해 감염된 환경에서는 사용자 PC에서 입력되는 키 값을 홍콩(HongKong)에 위치한 특정 서버로 유출하는 정보 유출 악성코드로 알려져 있습니다.
감염 조건은 해킹된 시간대에 한컴 자동 업데이트를 실행한 PC는 자동으로 감염이 이루어졌을 것으로 보이므로 한컴 오피스 제품군이 설치된 모두 PC는 반드시 최신 업데이트를 통해 시스템 정밀 검사를 진행하시기 바랍니다.
현재 알약(ALYac)에서는 Trojan.Agent.hupdate 진단명으로 진단되고 있으며, 안랩(AhnLab)은 Win-Trojan/Keylogger.286816 진단명 등으로 진단되고 있습니다.
만약 해당 폴더 및 파일이 존재한 PC의 경우 수동으로 문제 해결을 위해서는 실행창에 [sc stop "Nateon Services"] → [sc delete "Nateon Services"] 명령어를 순서대로 입력하여 서비스 중지 및 삭제를 한 후 파일을 제거하시기 바랍니다.
이번 사례와 같이 관공서 납품까지 하는 유명 소프트웨어 업체를 통해서도 해킹을 통한 악성코드 감염 행위가 발생할 수 있다는 점에서 심각한 문제로 보입니다.
Update : Trojan/Agent.oin(한글 업데이트 관련) 치료용 전용백신 (2012.11.12)
해당 악성코드에 대응하기 위하여 KISA에서는 "Trojan/Agent.oin(한글 업데이트 관련) 치료용 전용백신"을 배포하고 있습니다.
해당 전용 백신을 이용하기 위해서는 사용자 PC에 설치된 AntiVirus 제품의 실시간 감시를 일시적으로 OFF하시고 검사를 진행하시기 바랍니다.