본문 바로가기

벌새::Analysis

악성코드 유포 (2009.10.11)

국내 폴더 보안 관련 무료 소프트웨어 L 프로그램 제작사 사이트의 최신 버전 링크를 통하여 해외에서 제작된 가짜 백신이 유포되는 것을 확인하였습니다.

일반적으로 소프트웨어 프로그램을 다운로드할 경우 가장 안전한 방식이 해당 프로그램의 제작사 사이트에서 받으라고 권장을 하지만, 이처럼 역으로 제작사 사이트에서 제공하는 프로그램 다운로드 링크가 변조되어 악성코드를 유포하는 경우는 참 난감한 것 같습니다.

[악성코드 유포 경로]

h**p://www.lon******.com/****lock/Page4.php
 - h**p://npanel***.info/
  -> h**p://*****domains.com/base/data/p29.php + montik[Random 숫자].pdf (Kaspersky : Exploit.Win32.Pidief.chg)
   ->> h**p://*****domains.com/base/data/uv3.php + new_car.exe (Microsoft : TrojanDropper:Win32/Preald.B)
  -> h**p://*****domains.com/base/data/vou.png (Symantec : Trojan.Malscript!html)

해당 악성코드는 다운로드 링크를 클릭할 경우 악의적인 사이트로 이동을 하여 Adobe PDF 문서 파일을 다운로드하도록 구성되어 있습니다.

해당 PDF 문서는 Adobe Reader 보안 취약점을 이용하고 있으며, 해당 프로그램을 통해 보안 패치가 적용되지 않은 버전의 경우 최종적으로 new_car.exe 파일을 사용자 컴퓨터에 설치를 하는 것으로 확인이 되었습니다.

근래에 Adobe Reader 관련 보안 취약점 공개와 보안 패치가 상당수 발표되었지만, 여전히 많은 사용자들이 최신 버전을 사용하지 않는 습관으로 인하여 실제 감염으로 연결이 되고 있는 것을 확인할 수 있었습니다.

new_car.exe 파일은 해외에서 제작된 가짜 백신 AntiVirusPro 2010 프로그램을 설치하여 허위 정보를 바탕으로 금전 결제를 유도합니다.

최근 공개된 Adobe Reader 제로데이 취약점과 같이 유명 응용 프로그램의 보안 업데이트도 윈도우처럼 꾸준히 확인하는 습관이 필요하며, 신뢰할 수 있는 보안제품의 최신 DB 업데이트와 실시간 검사 기능을 반드시 활성화하시고 인터넷에서 파일을 다운로드하는 습관을 가지시기 바랍니다.

참고로 해당 악성코드에서 이용하는 PDF 취약점은 이전에 보안 패치가 공개된 코드를 이용하는 것으로 추정됩니다.