해당 소식은 저번 주 Symantec으로부터 악성코드를 발견하였다는 이야기가 나왔으며, 추가적인 조사를 통해 공식적으로 발표를 한 것으로 알고 있습니다.
Energizer DUO 프로그램은 USB Battery Charger 프로그램으로 사용자에게 배터리 충전 상태를 모니터링하여 상태를 알려주는 프로그램입니다.
해당 프로그램을 설치하면 업데이트를 통해 공식 제작사 사이트에서 악성코드를 다운로드하여 설치가 이루어지며, 프로그램 설치 폴더 내부에 UsbCharger.dll 파일이 위치하며, 악성코드로 알려진 [%SystemRoot%\system32\Arucer.dll] 파일이 생성됩니다.
Energizer DUO 프로그램의 동작 방식은 프로그램이 실행되면 연결된 USB와의 통신을 위해 UsbCharger.dll 파일이 동작하며, rundll32.exe(정상 파일)를 통하여 UsbCharger.dll 파일이 Arucer.dll 파일을 실행하도록 구성되어 있습니다.
또한 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 레지스트리 정보에 Arucer.dll 파일을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
이런 일련의 과정에서 Arucer.dll(MD5 : 1070be3e60a1868d2cd62fc90d76c861) 파일은 백도어 기능을 하며, TCP 7777번 포트를 통해 외부의 허가받지 않은 연결을 시도하고 있습니다.
해당 백도어는 시스템 로그온 사용자 권한을 이용하여 디렉토리 , 주고 받은 파일, 실행 파일 목록을 외부로 유출하고 있는 것으로 알려져 있습니다.
해당 파일에 대해서는 Symantec 보안 제품에서 Trojan.Arugizer 진단명으로 진단을 하고 있습니다.
해당 프로그램은 2007년 5월 10일 컴파일러된 파일로 3년 동안 전 세계에서 공식적으로 배포되었던 프로그램에 함께 설치가 이루어진 것으로 보이며, 해당 악성코드는 중국어 문자를 포함하고 있는 것으로 보아 중국에서 제작된 것으로 추정됩니다.
해당 프로그램을 이용하시는 분들은 반드시 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바라며, 수동 삭제 방법은 Energizer DUO 프로그램을 먼저 삭제하여 자동 실행 부분이 제거되면 시스템 재부팅 이후 [%SystemRoot%\system32\Arucer.dll] 파일을 수동으로 찾아서 삭제를 하시면 됩니다.
이번과 같은 경우 제작사에서 배포하는 파일로 인한 감염 사례는 기업이 소비자에게 제공하는 프로그램의 품질 관리가 얼마나 중요한지를 실감시켜 주는 사례가 아닌가 생각됩니다.