알약(ALYac) 방해와 시스템 정보 수집 악성 파일 주의 : Trojan/Win32.Sysckbc (AhnLab V3)

국내 인터넷 사용자를 표적으로 하는 것으로 추정되는 악성 파일이 무료 백신 알약(ALYac) 보안 제품의 기능 방해 시도 및 감염된 시스템 정보를 외부로 유출하는 악성 파일을 확인하였습니다.

해당 악성 파일은 파일 버전이 존재하는 것으로 보아 과거부터 변종이 있었을 것으로 추정되며, 알려진 정보에 따르면 음란 동영상(야동) 등을 통해 함께 유포가 이루어지는 것으로 보입니다.

참고로 해당 악성 파일(MD5 : 4658903b8d321f58eebc4726ef243c02)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Sysckbc (VirusTotal : 6/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 악성 파일이 사용자 PC에 설치되는 과정 중에서는 국내 무료 백신 알약(ALYac)의 시작 프로그램 관련 레지스트리 값을 찾아서 삭제를 시도하는 모습을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ALYac = "C:\Program Files\ESTsoft\ALYac\AYLaunch.exe" /run

테스트에서는 알약(ALYac) 2.1.0.1 버전의 경우 자가 보호 기능으로 인하여 레지스트리 삭제에 실패하지만, 현재 알약 제품에서는 해당 악성 파일에 대한 진단이 이루어지지 않는 관계로 정상적으로 감염이 이루어집니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - biosmangr = (biosmangr 파일 위치)

감염된 환경에서는 "biosmangr"라는 이름으로 시작 프로그램에 자신을 등록하여 시스템 시작시마다 자동으로 실행되도록 구성되어 있습니다.

해당 악성 파일이 실행되면 현재 미국(USA)에 위치한 208.**.76.*** IP로 연결이 이루어지며, 감염된 PC의 사용자 컴퓨터 이름, 운영 체제 종류(서비스 팩 포함), 사용자 Mac Address 정보 등이 수집되어 유출되는 것을 확인할 수 있습니다.

문제의 IP 주소에 접속을 할 경우 도박과 연관성이 깊은 것으로 추정되는 한글 인터넷 사이트가 존재한 것으로 보아, 다양한 유포 경로를 통해 감염된 국내 사용자 시스템 정보를 수집하여 어떠한 목적에 활용하는 것이 아닌가 추정됩니다.

그러므로 인터넷 상에서 신뢰할 수 없는 파일(동영상 포함)을 함부로 실행하지 않도록 매우 주의하시기 바라며, 반드시 보안 제품의 실시간 감시 및 제품에서 제공하는 자가 보호 기능을 켜시고 이용하시기 바랍니다.