본문 바로가기

벌새::Security

호스트(Host) 텍스트 문서를 이용한 악성코드 만들기

반응형

호스트(Host) 파일은 윈도우의 기본 파일 중의 하나로 인터넷의 IP 주소(예 : 203.123.123.252)에 호스트 네임(예 : naver.com) 주소를 알려주는 파일입니다.

최근에는 호스트 파일을 변조하는 악성코드로 인해 사용자가 원치않는 주소로 납치를 하거나, 특정 웹사이트(주로 보안업체 등)를 차단하게 만들고 있습니다.

사용자 삽입 이미지


기본적으로 C:\WINDOWS\system32\drivers\etc 폴더에서 호스트 파일을 확인하실 수 있습니다.

해당 파일의 내부 정보는 다음과 같습니다.

사용자 삽입 이미지


해당 호스트 파일에 추가적으로 사용자가 특정 웹사이트를 입력하면 해당 사이트의 접속을 차단하는 용도로 사용할 수도 있는 것으로 압니다.

그럼 이제 특별히 지정한 호스트 명단을 통해 텍스트 문서를 만들어 보겠습니다.

1. [메모장]을 열어서 다음과 같은 정보를 기입합니다.

사용자 삽입 이미지


해당 정보를 기입하고 텍스트 문서 형태(txt 파일)로 저장을 합니다.

사용자 삽입 이미지


파일을 저장하면 F-Secure 제품에서 Trojan.Win32.Qhost.cy 진단명으로 해당 텍스트 문서를 진단을 합니다.

해당 파일을 바이러스 토탈을 통해 확인해 보겠습니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.10 -
Authentium 4.93.8 2008.02.11 HOST_trojan
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.10 -
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.10 -
DrWeb 4.44.0.09170 2008.02.10 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.10 -
F-Prot 4.4.2.54 2008.02.10 HOST_trojan
F-Secure 6.70.13260.0 2008.02.10 Trojan.Win32.Qhost.cy
Ikarus T3.1.1.20 2008.02.11 -
Kaspersky 7.0.0.125 2008.02.11 Trojan.Win32.Qhost.cy
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.10 -
NOD32v2 2862 2008.02.10 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.11 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.11 -
TheHacker 6.2.9.215 2008.02.09 -
VBA32 3.12.6.0 2008.02.10 -
VirusBuster 4.3.26:9 2008.02.10 Trojan.QHosts.AA
Webwasher-Gateway 6.6.2 2008.02.11 -
Additional information
File size: 116 bytes
MD5: c80d6ee82c177b8f3d5a06a2c20eaf6f
SHA1: 09590448105fbea236b89a91a4924c3dbadf3016


Kaspersky 엔진에서 진단을 하고 있는 것을 확인하실 수 있습니다. 이전에도 구글 웹사이트에서 단순한 검색값으로 쉽게 악성코드 진단을 하도록 만드는 경우와 마찬가지로 비슷한 형태라고 보여집니다. 즉 보안업체마다 진단방식의 차이라고 할까요?


이제 조금 더 테스트 문서에 많은 정보를 넣어보겠습니다.

사용자 삽입 이미지


해당 텍스트 문서를 텍스트 파일로 저장하여 바이러스 토탈에서 확인한 결과는 다음과 같습니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.10 TR/AntiHosts.Gen
Authentium 4.93.8 2008.02.11 HOST_trojan
Avast 4.7.1098.0 2008.02.10 Win32:QHost-FH
AVG 7.5.0.516 2008.02.10 -
BitDefender 7.2 2008.02.11 Generic.Qhost.43494FC8
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.10 Trojan.Qhost.AR
DrWeb 4.44.0.09170 2008.02.10 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 Win32/Hostblock
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.10 -
F-Prot 4.4.2.54 2008.02.10 HOST_trojan
F-Secure 6.70.13260.0 2008.02.10 Text/Qhosts.A
Ikarus T3.1.1.20 2008.02.11 -
Kaspersky 7.0.0.125 2008.02.11 Email-Worm.Win32.Anker.n
McAfee 5226 2008.02.08 QHosts-54
Microsoft 1.3204 2008.02.10 Trojan:Win32/Qhost.I
NOD32v2 2862 2008.02.10 Win32/Qhost
Norman 5.80.02 2008.02.08 Text/Qhosts.A
Panda 9.0.0.4 2008.02.10 Trj/Qhost.gen
Prevx1 V2 2008.02.11 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.11 -
TheHacker 6.2.9.215 2008.02.09 -
VBA32 3.12.6.0 2008.02.10 -
VirusBuster 4.3.26:9 2008.02.10 Trojan.QHosts.G
Webwasher-Gateway 6.6.2 2008.02.11 Trojan.AntiHosts.Gen
Additional information
File size: 5204 bytes
MD5: 461be496074b5322851217248aa0ef65
SHA1: 8396372d2d4b03f1f3aae8cddc61bc1235994c72


이전부터 훨씬 많은 보안제품에서 진단하는 모습을 볼 수 있습니다.

만약 해당 파일을 다음과 같이 이용을 한다면 당연히 해당 파일은 악성코드로 진단을 해야하는 것이 정상이라고 생각합니다.

즉 테스트를 위해 만들어진 host.txt 파일을 host라고 파일명을 변경하고 파일의 위치를 C:\WINDOWS\system32\drivers\etc 폴더에 덮어쓰기를 하면 완전한 악성코드의 모습이 될 수 있다고 생각합니다.

이와 같은 진단정책에 대해서는 각 보안업체에서 정한 규칙이라서 이야기할 부분은 아니겠지만, 너무 민감한 백신으로 인해 오해의 여지가 생기고 누구나 아주 쉽게 악성코드로 진단하는 파일을 만들 수도 있다고 생각합니다.

최근에 와서 개인적으로 느끼는 악성코드와 정상 파일의 모습은 종이 한 장 차이(1Bit)로 보여질 때도 있는 것 같습니다.

728x90
반응형
  • 사용자가 원해서 만든것도 바이러스로 진단을 하는..

    이제는 사용자들도 백신이 진단하는걸 믿지 못한판인거 같군용..

    악성 PE파일을 1비트만 바꿔도 진단을 못하고 그러니-_-

  • 흥미롭군요.
    저도 방금 테스트 해 봤습니다.
    네이버 PC그린으론 www.naver.com 도메인을 입력한 1.txt를 인식하지 못하더군요.
    그래서 같은 1.txt에 symantec.com을 입력했더니 그제서야 PC그린도 악성코드로 인식했습니다.
    여하튼,재밌기도 하고..
    황당하기도 하네요.^^;

    • 제가 작년경에 들은 이야기로는 Kaspersky의 경우 진단 정책에서 악성코드가 생성한 특정 목적의 방해적 문서가 txt 파일일 경우에도 진단한다고 알고 있습니다.

      그런 이유로 보안업체에서 진단하는 경우가 있더군요.

  • 참 그러면 무료백신들도 못 믿을수도 있다느 말이군요 그것도 무료니까 월래는 돈 받고 해야하는데 악으로한다면 ....그래도 그런건 없기를....근데 바이러스 만드는 방법 재미있군요~!! 정말 감사합니다 좋은정보^^~

  • 비밀댓글입니다

    • 블로그 저작권을 지켜주시기 바랍니다.

      담아갈께요~ 이런식으로 말한다고 해결되지 않습니다.

      게시물은 링크를 이용하시기 바랍니다.