본문 바로가기

벌새::Security

악성코드로 재탄생한 Win32/Induc 바이러스

반응형
최근 감염된 델파이 개발 도구를 통해 유포가 되고 있는 Win32/Induc (AhnLab) 바이러스를 치료하던 중 재미있는 부분을 발견하여 정리를 해 보도록 하겠습니다.
 

테스트 조건은 해외에서 제작된 트로이목마(Trojan)으로 추정되는 샘플을 8월 19일 수집하여 안철수연구소(AhnLab)에 신고를 하였습니다.

현재 신고 내역 정보

현재 시점에서는 해당 파일에 대해 진단을 보류한 상태로 악성코드 여부를 판단하기 않고 있는데, AhnLab V3 Internet Security 8.0 버전을 통하여 해당 샘플을 검사한 경과 델파이 바이러스 Win32/Induc에 감염되었다는 진단을 확인하였습니다.

일반적으로 바이러스의 치료는 트로이목마의 치료 방식인 삭제와는 달리 바이러스 코드만을 제거하고 원래의 파일로 복원을 하는 방식입니다.

치료를 실제 시도하여 치료가 정상적으로 완료된 상태에서 해당 악성코드를 바이러스토탈(VirusTotal)에 돌려보면 다음과 같이 해외 일부 보안제품에서 트로이목마로 진단하는 것을 확인할 수 있습니다.

 

1번의 Banker류 트로이목마로 추정되는 악성코드가 최초 제작 당시에 악성코드 제작자의 개발 도구가 감염된 상태로 제작이 되어 배포가 되었고, 실제 델파이 바이러스가 알려진 직전에 보안업체에 신고한 상태에서는 해당 악성코드를 Win32/Induc 진단명을 가지지 못한 상태였습니다.

하지만 델파이 바이러스의 존재가 알려지고 안철수연구소 보안제품에서 진단이 시작되면서 해당 악성코드는 분석 보류로 지정된 샘플이 자연스럽게 Win32/Induc 바이러스로 변해 버렸습니다.

이렇게하여 2번과 같이 진단된 바이러스는 치료 과정을 통하여 다시 1번의 악성코드가 되었고, 해당 악성코드를 검사해보면 보안업체에서 여전히 트로이목마로 진단하는 것을 확인할 수 있습니다.

개인적인 생각에 이번과 같이 특정 샘플이 초기에 가지고 있는 악의적인 코드와 함께 바이러스 코드를 함께 가지고 있는 경우, 보안제품이 해당 샘플을 진단시 트로이목마와 바이러스를 동시에 진단할 수 있다면, 어느 것을 우선시하여 진단할지 아니면 먼저 바이러스를 치료하고 트로이목마로 재진단하여 삭제를 처리할 수 있는지 재미있는 상상을 해 봅니다.

728x90
반응형
  • 이전에 감염형 파일들을 보면 다른 악의적인 코드보다 감염형 코드부터 대부분의 제품이 먼저 진단하는 것 같던데 이번에도 그런가 보네요.
    다행히(?) 실행압축이 아니라 v3엣 치료가 된 듯 한데 그 경우에도 악의적인 행동을 할 수 있을지 궁금하네요 ㅎㅎ

    • 이런 경우도 있더군요.

      웹 상에서 악성코드를 다운로드할 때에 임시파일로 먼저 생성된 것은 비트엔진으로 진단하고 다운이 완료된 것은 알약 자체 진단으로 하고..

      악성코드 진단도 참 복잡해 보입니다.

  • 원본(악성코드) + Induc + 실행압축 => 2중 감염

    이런식의 2중 감염은 진단 후 -> 삭제로 하는 것이 맞을 듯 싶은데 V3에서 삭제하지 않았다면 원본(악성코드)을 미진단하는 형태가 아닐까 싶기도 합니다.

    실행 압축된 것은 진단자체를 하지 않도록 한 것으로 들었으니, 치료 후에 또 다른 악성코드가 남아 있나보네요.

    실제로 8월 15일 당시 국내에서 처음 목격된 파일은 Banker 류의 악성코드에 Induc 이 감염된 상태였습니다.

    • Induc 진단 전에 샘플 신고가 이루어졌고, 진단을 보류한 상태에서 델파이 바이러스가 발견되면서 진단을 바이러스쪽 진단만 추가가 된 것 같습니다.

      유포 사이트를 다시 확인해보니 지금은 차단된 것으로 보이는데, 아마 내부에 악의적인 코드가 여전히 있는 것 같습니다.