﻿동영상 재생 프로그램을 이용한 악성코드

최근 사용자가 많은 무료 동영상 재생 프로그램을 이용한 악성코드가 발견됐다. 이용자가 많은 프로그램이나 광고 프로그램의 업데이트 기능을 이용한 악성코드 유포 사례가 증가하고 있는 만큼 사용자들의 각별한 주의가 요구된다.   [그림 1]은 외부 해킹 공격에 따른 동영상 프로그램의 긴급 공지 내용을 나타낸 화면이다.   <IMG border=0 alt="" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fcomm%2Finfo%2F1309031792100703.JPG" width=450 height=249> [그림 1] 해킹에 따른 긴급 공지 분석 당시 악성코드 유포 경로를 정확히 확인할 수 없었지만 외부에 공개된 내용을 참고하면, KMPlayer 3.7.0.87 버전 업데이트 알림이 사용자에게 나타나고 업데이트 기능을 이용해 악성코드가 유포된 것으로 추정된다. 현재 KMPlayer 홈페이지에서 배포하고 있는 최신 버전은 3.6.0.87 버전이다. [링크참고] <A href="http://www.icst.org.tw/NewsRSSDetail.aspx?seq=14548&RSSType=news&lang=zh" target=_blank>http://www.icst.org.tw/NewsRSSDetail.aspx?seq=14548&RSSType=news&lang=zh</A> <A href="https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018" target=_blank>https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018</A>   해당 악성코드는 ‘KMPlayer 3.7.0.87.exe’를 파일명으로 사용하고, SFX 압축파일 형태로 제작됐다.   <IMG border=0 alt="" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fcomm%2Finfo%2F1309031792201679.JPG" width=198 height=70> [그림 2] KMPlayer 3.7.0.87.exe 이번에 발견된 악성코드는 디지털 서명을 이용해 백신 탐지를 우회하도록 정교하게 제작돼 있었다. 사용자의 컴퓨터 시스템이 윈도우 XP 운영체제일 경우 All Users 폴더에 [그림 3]과 같은 파일이 생성된다. 사용자의 컴퓨터 시스템이 윈도우 7일 경우에는 ProgramData 폴더에 [그림 4]와 동일한 악성코드가 생성된다.   <IMG border=0 alt="" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fcomm%2Finfo%2F1309031792309898.JPG" width=450 height=139> [그림 3] 윈도우 XP 상에서의 파일 생성 경로   <IMG border=0 alt="" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fcomm%2Finfo%2F1309031792400347.JPG" width=450 height=189> [그림 4] 윈도우 7 상에서의 파일 생성경로   해당 악성코드는 PlugX 악성코드로 사용자의 키보드 입력정보를 NvSmart.hlp 파일에 저장해 탈취한다. 악성코드는 특정 서버로의 접속을 시도하며, 키로깅 정보 및 시스템 정보 등을 전송할 것으로 추정된다. 해당 악성코드는 V3 제품군에서 진단 및 치료가 가능하다.@