울지않는벌새 : Security, Movie & Society

고마운 트래픽 초과로 인한 악성코드 다운로드 차단

벌새::Security
국내 온라인 게임 계정 탈취 목적으로 중국쪽에서 이루어지고 있는 악성코드 유포 방식은 대부분 정상적인 인터넷 사이트를 변조하여 해당 사이트에 접속하는 사용자 시스템 중 특정 보안 취약점이 존재할 경우 자동으로 감염시키는 방식입니다.

이를 위하여 해당 변조 사이트에 삽입된 악성 스크립트를 통해 최종적으로 다운로드되는 트로이목마(Trojan) 파일을 등록해 두는 사이트가 얼마나 많은 다운로드 트래픽을 유발하는지 간접적으로 체감할 수 있는 사례를 발견할 수 있습니다.


현재 악성 스크립트를 통해 다운로드되는 help.exe(SHA1 : f9baaa26ec7b081e6ae613c2d8a2dea948bb48a2) 파일은 103,964 Bytes 크기로 국내의 컴퓨터 수리 관련 웹 사이트에 등록되어 있습니다.

참고로 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 27/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 파일은 외부의 변조된 인터넷 사이트에 접속한 사용자들이 PC 감염이 발생할 경우 해당 컴퓨터 수리 사이트에 등록된 help.exe 파일을 다운로드하도록 동작하는데 현재 해당 파일은 다음과 같은 이유로 다운로드가 되지 않고 있습니다.


즉, 해당 사이트에서 허용하는 1일 트래픽 수치를 초과하여 더 이상 다운로드가 불가능한데, 해당 사이트가 인기가 높아서 이런 문제가 발생하는 것이 아니라 몰래 등록된 help.exe 파일이 외부 트래픽을 유발하여 이와 같은 문제가 발생하고 있는 것으로 추정됩니다.

이처럼 현재 시간대에 help.exe 파일을 다운로드하기 위해 변조된 사이트에 방문한 사용자는 트래픽 초과로 인해 실제 악성 파일이 다운로드되지 않는 행운을 있습니다.