울지않는벌새 : Security, Movie & Society

Induc 바이러스에 감염된 팬택 베가 원격 지원 프로그램 문제 (2014.4.1)

벌새::Security

모바일 전문 업체 팬택(Pantech) 서비스 사이트에 게시된 "VEGA 원격 지원 프로그램"Induc 바이러스에 감염된 상태로 4년 넘게 다운로드가 이루어지고 있는 부분을 확인하였습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페의 철이님께 감사드립니다. )

 

  델파이 개발 환경을 노리는 Virus.Win32.Induc.a (2009.8.20)

 

  악성코드로 재탄생한 Win32/Induc 바이러스 (2009.8.27)

 

  Induc 바이러스 출현 1년과 해결 방법 (2010.6.7)

 

Induc 바이러스는 2009년경에 최초 발견되었으며 감염된 델파이(Delphi) 개발 환경을 노리는 것으로 알려져 있습니다.

문제가 되는 팬택 베가(Pantech Vega) 원격 지원 프로그램 파일<SHA-1 : f4ad2ff3c5042c357825bc4b4f8b6d031a0ab792 - BitDefender : Win32.Induc.A (VT : 27/51)>은 2009년 6월 4일에 서명된 "SoftWindow" 디지털 서명이 포함된 것으로 프로그램 개발 환경이 감염된 상태에서 제작된 것으로 보입니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\PC31760_WCall.exe
 - SHA-1 : 9c14990e87ecef596e2a311a5add0d553aa60d21
 - AhnLab V3 : Win32/Induc (VT : 34/50)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\PCctrHook.dll

해당 프로그램은 설치형 방식이 아니며 파일을 실행할 경우 사용자 임시 폴더에 파일을 해제하여 PC31760_WCall.exe 파일 실행을 통해 "Sky-CyberPluszone 콜서버 Ver 3.9.8" 프로그램을 실행하는 구조입니다.

 

이렇게 실행 압축 해제된 "C:\Users\(사용자 계정)\AppData\Local\Temp\PC31760_WCall.exe" 파일이 Win32/Induc 바이러스에 감염된 상태로 배포가 이루어지고 있는 것으로 확인되고 있습니다.

흥미로운 점은 AhnLab V3 365 Clinic 보안 제품의 파일 평판 정보를 확인해보면 Win32/Induc 진단명으로 진단이 이루어지고 있지만, 악성 파일로 분류하지 않고 미확정 파일로 표시된다는 점입니다.

 

이로 인하여 사용자가 베가 원격 지원 프로그램을 다운로드 및 실행하는 과정에서 실시간 검사를 통해 차단이 이루어지지 않고 있습니다.

단지 AhnLab V3 365 Clinic 보안 제품을 통해 정밀 검사(수동 검사)를 할 경우에만 "C:\Users\(사용자 계정)\AppData\Local\Temp\PC31760_WCall.exe" 파일에 대하여 Win32/Induc 진단명으로 진단하고 있습니다.

 

하지만 안랩(AhnLab) 진단 정책상 Win32/Induc 악성 파일은 치료 기능을 제공하지 않고 있으며, 프로그램에서 제공하는 삭제 기능을 통해 파일을 삭제하라고 안내를 합니다.

 

그렇지만 베가(Vega) 원격 지원 프로그램은 Setup 방식이 아닌 압축 해제 방식으로 인해 프로그램에서는 삭제 기능을 제공하고 있지 않기 때문에, 사용자가 해당 파일을 찾아서 직접 삭제해야 하는 문제가 발생하고 있습니다.

더욱이 Active Defense 기능을 통해 Win32/Induc 바이러스에 감염된 파일(PC31760_WCall.exe)을 차단 처리(User/Gen.Block)를 하여 삭제를 시도할 경우에도 "치료 불가" 상태로 표시됩니다.

아무튼 위와 같은 국내 백신의 실행 압축(Packer) 진단의 부실함과 Win32/Induc 바이러스에 대한 관용 문제로 인하여 불편을 겪는 사용자가 있을 수 있으므로 베가(Vega) 원격 지원 프로그램을 사용한 경우에는 "C:\Users\(사용자 계정)\AppData\Local\Temp\PC31760_WCall.exe" 파일을 찾아서 직접 삭제하시기 바랍니다.

 

참고로 Win32/Induc 바이러스는 자신만 감염된 상태이며 다른 실행 파일에 영향을 주지 않는 착한() 바이러스로 알려져 있습니다.