과거 네이버(Naver) 블로그에서 발견한 건에 대해 신고를 하였다가 게시글이 정책상 문제가 없다는 답변을 받은 적이 있었지만, 그 후 네이버에서는 상당히 만족스럽게 악성코드 유포와 관련된 게시글 또는 블로그에 대해 차단을 하고 있습니다.
반면 다음(Daum)측에서는 여전히 자신들이 정한 규정과는 다르게 대응이 이루어지고 있기에 한 가지 사례를 통해 살펴보도록 하겠습니다.
참고로 Daum에서 서비스하는 Daum 블로그에서는 분명히 바이러스와 같은 악성코드에 대해 규제를 한다고 명기하고 있습니다.
하지만 이번 사례에서 보여질 게시글에 대해서는 그림과 같이 이용약관 및 운영 원칙에 위배되는 내용이 없다는 답변을 받았습니다.
문제의 게시글은 2009년 10월경에 제작된 악성 파일로 11월경 Daum 블로그에 클럽박스 속도 패치로 위장하여 Zip 압축 파일 형태로 등록되어 있습니다.
해당 압축 파일 내부에는 클럽박스 아이콘 모양으로 구성되어 있으며, 파일(MD5 : f84354f97b15ab1fe5bf64b6665c88d8)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.Scar (VirusTotal : 31/41) 진단명으로 진단되고 있습니다.
해당 파일을 실행할 경우 사용자에게는 좌측 그림과 같은 클럽박스 속도 패치가 가능한 것처럼 위장한 창이 생성되며, 클럽박스 프로그램을 실행하도록 유도하고 있는 것을 확인할 수 있습니다.
하지만 실제로는 해당 파일은 다음과 같은 악의적인 동작이 이루어지고 있습니다.
최초 파일을 실행하며 "C:\WINDOWS\kb371064p1.exe" 파일을 생성하여 다음과 같은 파일을 사용자 몰래 설치하고 자신은 삭제가 됩니다.
- AhnLab V3 : Win-Trojan/Downloader.28672.RD (VirusTotal : 30/41)
C:\WINDOWS\system32\NwModv.dll (MD5 : 6c41814673d1513d33d3618f7cc8c71b)
생성된 NetwareVlme.ocx 파일은 숨김(H), 시스템(S) 속성으로 윈도우 기본값으로는 보이지 않으며, 해당 파일은 서비스 항목에 NetwareSvcsV3 라는 이름으로 등록됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWARESVCSV3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetwareSvcsV3
서비스에 등록된 NetwareSvcsV3 항목은 Netware Service 2라는 이름으로 표시되며 NetwareVlme.ocx 파일은 NwModv.dll 파일을 로딩하여 홍콩(HongKong)에 위치한 "202.59.156.124 :810" IP 서버에 연결을 시도하고 있습니다.
참고로 실제 현재는 해당 IP가 죽어 있지만, 유포 당시에는 추가적인 악성 파일 다운로드 등의 동작이 이루어졌을 것으로 추정됩니다.
위와 같은 악성코드가 첨부된 게시글에 대해 Daum 측에서는 어떤 절차에 따라 검증을 하여 해당 게시글이 규제되어야 할 이용약관 정책에 부합되지 않는지 의구심이 듭니다.
마지막으로 블로그와 같은 곳에 첨부 파일 또는 링크로 제공되는 각종 파일에 대해서는 함부로 다운로드하여 실행하지 않도록 주의하시기 바랍니다.