울지않는벌새 : Security, Movie & Society

알집(ALZip) 압축 아이콘으로 위장한 악성 프로그램 주의 (2011.1.2)

벌새::Security
작년(2010년) 하반기부터 네이버(Naver) 블로그를 통해 확인되고 있는 온라인 게임 아바타 판매를 통해 사용자 PC에 원격 제어 관련 프로그램을 설치하도록 유도하여 온라인 게임 계정을 해킹하는 사례가 확인이 되고 있습니다.

그 중에서 오늘 확인한 아바타 판매와 관련된 사례를 통해 유포와 관련된 부분을 살펴보도록 하겠습니다.

네이버 블로그 게시물에는 그림과 같은 온라인 게임 아바타 스크린샷, 첨부 파일, 연락처를 등록하여 개인적인 접촉을 시도하고 있습니다.

해당 첨부 파일을 다운로드할 경우 알집(ALZip) 압축 프로그램에서 사용하는 전용 Zip 아이콘으로 실행 파일을 압축 파일로 위장하고 있으며, 게시글에서는 알집으로 압축한 압축 프로그램으로 사용자를 속이고 있습니다.

해당 파일의 정체를 정확하게 확인해보면 파일 버전을 통해 해외에서 제작되어 배포하는 AutoHotkey 1.0.91.4 (Release 2010.12.29) 버전 파일임을 확인할 수 있으며, 배포자가 AutoHotkey 프로그램을 변형하여 제작한 것으로 추정됩니다.

사용자는 블로그에서 다운로드한 첨부 파일을 압축 파일로 판단하여 실행하고, 해당 파일은 그림과 같이 시스템 트레이 상에 상주하도록 구성되어 있습니다.

시나리오를 가정하여 추정해보면 해당 온라인 게임 아바타에 관심있는 사용자가 유포자에게 개인적인 접촉을 통해 사용자 PC에 연결을 시키는 경우, 유포자는 온라인 게임에 접속하도록 유도하여 아이템 탈취 등의 악의적인 동작을 자동화된 스크립트를 통해 가능하도록 할 것으로 추정됩니다.

해당 첨부 파일 자체는 보안 제품에서 진단하지 않는 정상적인 파일이지만, 파일이 실행되도록 사전에 조치를 한 상태에서 익명의 외부인에게 PC 권한을 넘겨줄 경우에는 금전적 피해가 예상되므로 주의가 요구됩니다.

만약 원격으로 사용자 PC 제어권을 빼앗긴 경우에는 즉시 인터넷을 연결하는 PC 모뎀 뒷면에 위치한 전원 스위치를 OFF하여 오프라인 상태에서 작업 관리자를 통해 시스템 트레이에 상주하는 파일을 종료한 후, 다운로드한 파일을 삭제하시면 될 것으로 판단됩니다.

근본적으로 인터넷 상에서는 알지 못하는 외부인에게 원격 제어 권한을 넘겨주지 않도록 주의하시기 바랍니다.