울지않는벌새 : Security, Movie & Society

국내 블로그를 통한 보안 제품으로 위장한 악성코드 유포 사례

벌새::Analysis
국내 네이버(Naver) 지식iN을 확인하던 중 보안 제품으로 위장하는 방식으로 악성코드를 유포하는 행위를 발견하였습니다.

해당 악성코드는 단순히 가짜 백신(Rogue)이 아닌 감염자의 컴퓨터에 백도어(Backdoor)를 심기 위한 목적으로 구성되어 있기에 살펴보도록 하겠습니다.


네이버 지식iN 질문글에 바이러스 치료로 고생하는 사람들에게 특정 네이버 블로그 게시물 링크로 접속을 유도하는 글을 확인할 수 있습니다.

해당 질문글을 올린 회원은 gla_*** 아이디를 사용하고 있으며, 링크된 블로그의 소유자는 네이버 아이디 **8422450을 사용하는 다른 계정(동일인의 다른 블로그일 수 있음)입니다.


네이버 지식iN 질문을 올린 회원의 블로그의 경우 블로그를 이용하지 않는 회원으로 어떤 정보도 확인할 수 없도록 되어 있습니다.


문제의 블로그 링크에 접속을 해보면 첨부 파일이 추가되어 있으며, 1월 19일 업로드한 것으로 확인이 됩니다.


문제는 해당 첨부 파일이 업로드된 블로그 방문자 중에 네이버 지식iN에 해당 블로그로 연결을 시키던 아이디가 다녀간 흔적이 있다는 점과 해당 첨부 파일을 방문자가 설치하도록 유도하기 위해 [메딕홀 2.5] 버전이라는 보안 제품으로 소개를 하고 있다는 점입니다.

실제 메딕홀이라는 보안 제품은 확인된 정보에서는 발견할 수 없으며, 해당 유포자가 임의로 작성한 것으로 보입니다.

이중적인 아이디를 이용한 이번 유포 행위의 경우 다년간 블로그 명단에서는 네이버에서 타인의 계정을 이용하여 광고를 전문으로 하는 아이디(흐르는 강물처럼...) 흔적도 보이므로 타인의 계정 정보를 이용한 유포 행위가 아닌가도 의심스럽습니다.

MD5 : 66cb8ff1bc1a855c14e3d9fcf5b1ab27


다행히 해당 첨부 파일(UPX 실행 압축)은 국내외 보안제품 대다수에서 악성코드로 진단하고 있는 것으로 확인이 됩니다.

해당 악성코드의 경우 [%SystemRoot%\system32\RnmgtvC.dll] 파일을 생성하고 있으며, 생성된 파일은 정상적인 [%SystemRoot%\system32\svchost.exe] 프로세스에 서비스(Services) 항목으로 등록하여 윈도우 시작시 자동으로 실행되도록 구성되어 있습니다.


이를 통하여 국내 특정 아이피(IP)에 접속을 시도하여 추가적인 다운로드 행위 또는 감염된 시스템에서의 개인정보 탈취(온라인 게임 정보, 사이트 로그인 정보) 등을 행할 수 있는 것으로 보입니다.

최근에 많은 포털 사이트 계정이 외부에서 광고 등 악의적인 수단으로 악용되고 있으며, 이번과 같은 방식으로 사용자 시스템을 감염시키는 사례가 있으므로 블로그 등의 경로를 통한 파일 다운로드시에는 매우 주의하시기 바랍니다.

특히 이번과 같이 국내의 누군가가 정보를 수집할 경우에는 그 피해가 더욱 심할 수 있습니다.

덧, 해당 악성코드 유포 게시물은 네이버에 신고하여 차단된 상태입니다.