본문 바로가기

벌새::Analysis

국내 블로그를 통한 보안 제품으로 위장한 악성코드 유포 사례

국내 네이버(Naver) 지식iN을 확인하던 중 보안 제품으로 위장하는 방식으로 악성코드를 유포하는 행위를 발견하였습니다.

해당 악성코드는 단순히 가짜 백신(Rogue)이 아닌 감염자의 컴퓨터에 백도어(Backdoor)를 심기 위한 목적으로 구성되어 있기에 살펴보도록 하겠습니다.


네이버 지식iN 질문글에 바이러스 치료로 고생하는 사람들에게 특정 네이버 블로그 게시물 링크로 접속을 유도하는 글을 확인할 수 있습니다.

해당 질문글을 올린 회원은 gla_*** 아이디를 사용하고 있으며, 링크된 블로그의 소유자는 네이버 아이디 **8422450을 사용하는 다른 계정(동일인의 다른 블로그일 수 있음)입니다.


네이버 지식iN 질문을 올린 회원의 블로그의 경우 블로그를 이용하지 않는 회원으로 어떤 정보도 확인할 수 없도록 되어 있습니다.


문제의 블로그 링크에 접속을 해보면 첨부 파일이 추가되어 있으며, 1월 19일 업로드한 것으로 확인이 됩니다.


문제는 해당 첨부 파일이 업로드된 블로그 방문자 중에 네이버 지식iN에 해당 블로그로 연결을 시키던 아이디가 다녀간 흔적이 있다는 점과 해당 첨부 파일을 방문자가 설치하도록 유도하기 위해 [메딕홀 2.5] 버전이라는 보안 제품으로 소개를 하고 있다는 점입니다.

실제 메딕홀이라는 보안 제품은 확인된 정보에서는 발견할 수 없으며, 해당 유포자가 임의로 작성한 것으로 보입니다.

이중적인 아이디를 이용한 이번 유포 행위의 경우 다년간 블로그 명단에서는 네이버에서 타인의 계정을 이용하여 광고를 전문으로 하는 아이디(흐르는 강물처럼...) 흔적도 보이므로 타인의 계정 정보를 이용한 유포 행위가 아닌가도 의심스럽습니다.

MD5 : 66cb8ff1bc1a855c14e3d9fcf5b1ab27


다행히 해당 첨부 파일(UPX 실행 압축)은 국내외 보안제품 대다수에서 악성코드로 진단하고 있는 것으로 확인이 됩니다.

해당 악성코드의 경우 [%SystemRoot%\system32\RnmgtvC.dll] 파일을 생성하고 있으며, 생성된 파일은 정상적인 [%SystemRoot%\system32\svchost.exe] 프로세스에 서비스(Services) 항목으로 등록하여 윈도우 시작시 자동으로 실행되도록 구성되어 있습니다.


이를 통하여 국내 특정 아이피(IP)에 접속을 시도하여 추가적인 다운로드 행위 또는 감염된 시스템에서의 개인정보 탈취(온라인 게임 정보, 사이트 로그인 정보) 등을 행할 수 있는 것으로 보입니다.

최근에 많은 포털 사이트 계정이 외부에서 광고 등 악의적인 수단으로 악용되고 있으며, 이번과 같은 방식으로 사용자 시스템을 감염시키는 사례가 있으므로 블로그 등의 경로를 통한 파일 다운로드시에는 매우 주의하시기 바랍니다.

특히 이번과 같이 국내의 누군가가 정보를 수집할 경우에는 그 피해가 더욱 심할 수 있습니다.

덧, 해당 악성코드 유포 게시물은 네이버에 신고하여 차단된 상태입니다.
  • 퍼팩트군요.댓글로도 유도한는것도 본것 같습니다.

  • 비밀댓글입니다

    • 그런 업체의 유형이 모(母)업체가 있으면 자식 업체로 분류하여 운영하는 방식으로 전환을 하는 것 같습니다.

      제 생각에는 일종의 리스크(Risk) 관리 차원이 아닐까 생각됩니다.

      그리고 말씀하신 그 게임업체와의 관계는 잘 모르겠습니다. 워낙 그 업체가 여기저기 손을 대는 것 같아서..

      저도 최근에 그쪽 계열로 추정되는 업체가 신고를 하더군요.

      아마 국내 포털 서비스가 아닌 곳에 그런 글을 처리하려면 말씀처럼 그런 업체의 법무법인쪽에서 움직여서 법적 대응을 한다는 형태로 나가지 않을까 생각됩니다.

      근데 중요한 부분은 글 삭제를 했는데도 법적으로 문제 제기를 할 수 있으므로 증거 수집이나 백업은 한 번 해두시기 바랍니다.

      그런 업체가 특정 개인을 상대로 법적으로 가져가는 것은 좋아하지 않을지도 모릅니다. 개인적으로는 그런 업체는 외부에 이름이 들먹거리는 것을 선호하지 않습니다. 괜히 인터넷에서 자신들의 모든 정보를 없애는 이유가 그런게 아닐까도 생각됩니다.

    • 내용을 대충 알겠습니다.

      지에스피아는 최근에 바이러스헌터 프로그램에 대한 제 블로그 글도 명예훼손이라고 신고한 업체입니다.

      아마 1월 28일날 인터넷에서 일괄적으로 신고를 한 것 같습니다.

      저의 경우에는 바로 방통위 심의를 요청한 상태인데요~ 지에스피아 업체는 잘 모르겠지만 그 업체 제품은 사실 아이앤티미디어랩으로 연결됩니다.

      이유는 그 제품 자체가 PCClear 업체(이비즈네트워크)에서 인수한 AV-SCAN Pro(www.av-scan.com/) 엔진을 이용하는 것으로 추정됩니다.

      저 업체가 아예 아이앤티미디어랩을 모른다고 하는 것은 좀 그렇고, 아이앤티미디어랩도 이비즈네트워크에서 인수한 저 엔진으로 제작한 다수의 프로그램을 구매(?)하여 배포를 하고 있는 것으로 알고 있습니다.

      일부에서는 지에스피아처럼 업체명이 다른데.. 그 부분에 대해서는 아이앤티미디어랩과 연관이 있다 없다는 모르겠습니다.

      www.av-clean.com/home/main.php
      pc-cure.co.kr/home/main.php
      kvaccine.co.kr/home/main.php
      antivirus119.com/home/main.php
      www.supervaccin.com/home/main.php

      이런 것들을 보면 다 동일하죠.

      글을 어떻게 작성하셨는지는 모르지만, 한 업체가 이 업체와 연관된다는 식으로 너무 직접적으로 하지는 마시고 우회적으로 작성하시는 것이 좋을 것도 같습니다.

      예를 들면 저런 예를 제시하면서 동일 업체 제품을 이름이 다르게 구매하여 서로 운영하드라.. 이름만 다른 뭐드라.. 뭐 이런식으로요~ 우리들도 빠져나갈 구멍은 만드는게 좋습니다.

      저의 경우는 객관적 사실을 분명히 확인하거나 제 자신은 확신하는 부분에 대해서만 공개하려고 하거든요~

      특히 글에 보시면 아무리 잘못되어도 공인이 아닌 이상 너무 실명을 풀네임으로 작성하는 것은 나중에 문제가 되리라 생각됩니다.