본문 바로가기

벌새::Security

국내 공개 자료실 UndeleteMyFiles Pro 2.9 버전 악성코드 감염 주의

728x90
반응형
해외 SeriousBit 업체에서 제작한 파일 복구 프로그램 UndeleteMyFiles Pro 2.9 버전이 국내 공개 자료실(심파일)에 등록된 것이 2008년 10월 8일입니다.

UndeleteMyFiles Pro 2.9 Setup 파일 (MD5 : d1c66c6947fcf79d7ede0b59376e7016)


하지만 해당 프로그램은 어떤 이유로 인하여 감염된 상태로 등록이 되어 있으며, Kaspersky 보안 제품에서 Backdoor.Win32.SdBot.jby (VirusTotal : 12/41) 진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.

현재 UndeleteMyFiles Pro 프로그램의 최신 버전은 제작사 홈페이지에서 제공하는 Setup 설치 파일(제작사 MD5 : c29641dc45af3ed7ba3854057275ff37)을 이용하여 확인해보면 2.10 버전으로 VirusTotal 진단 결과 어떠한 보안 제품도 진단하지 않는 정상적인 프로그램입니다.


실제 2.10 버전을 설치하여 초기 동작시 그림과 같은 화면을 통해 프로그램을 시작하도록 되어 있으며, 이런 동작에서 어떠한 외부 네트워크 연결이 발생하지 않고 있습니다.


[UndeleteMyFiles Pro 2.9 생성 파일 진단 정보]

%Program Files%\UndeleteMyFiles\UndeleteMyFilesPro.exe (AhnLab : Win32/IRCBot.worm.variant) - (VirusTotal : 20/41)

UndeleteMyFilesPro.exe (MD5 : cdbd2f866d6bc03e7a55dfa3a66493ad)


하지만 국내 공개 자료실에 등록된 2.9 버전을 이용하여 설치시 초기 프로그램 실행 단계에서 외부 네트워크 연결을 시도하는 동작을 확인할 수 있습니다.

프로그램이 실행되면서 외부로 사용자 컴퓨터 정보가 유출되는 것으로 보이며, [%SystemRoot%\system32\msctf.dll] 파일을 통한 사용자 키보드, 마우스 후킹을 하고 있는 것을 확인할 수 있었습니다.

출처 : 심파일


현재 심파일의 경우 네이버(Naver) 자료실, 다음(Daum) 자료실과 연결되어 있으며, 국내 공개 자료실에 등록된 UndeleteMyFiles Pro 프로그램의 최신 버전은 감염된 채 등록되어 있는 2.9 버전이 최신입니다.

여전히 금주 다운로드가 발생하고 있다는 점을 고려한다면 일부 인터넷 사용자들이 믿고 다운로드를 한 자료실을 통해 시스템 감염이 발생하고 있을 것으로 추정됩니다.

어떤 경로를 통해 해당 프로그램이 감염되었는지는 모르겠지만, 국내 최대 규모의 자료실을 운영하면서 초기 업로드된 파일에 대해 그 이후에 보안 제품을 통한 검사가 전혀 이루어지지 않고 있는 것이 아닌가 의심이 됩니다.

해외 유명 공개 자료실의 경우 프로그램에 포함된 광고와 관련해서도 꼼꼼하게 따지는 분위기인데 국내에서는 프로그램 업로드에만 신경을 쓰지 해당 프로그램에 문제가 발생하는지 여부 또는 프로그램을 등록시 최소한 설치를 통한 확인 과정이 전혀 없는 것으로 보이므로 이같은 문제에 대해 1년이 넘도록 인지를 하지 못하고 있는 것 같습니다.

해당 프로그램을 사용하시는 분들은 반드시 유명 보안 제품을 이용하여 시스템 정밀 검사를 반드시 하시기 바랍니다.
728x90
반응형