유명 포털 사이트 카페 통해 유포된 키로거 악성코드의 실체

[보안멘토]

 IE 취약점 악용 ‘키로거 서비스’ 악성코드 변종...국내 백신 집중 우회

NSHC Red Alert팀 “감염시 루트킷 탐지 프로그램으로 제거해야”

[보안뉴스 권 준] 지난 주말인 12월 7~8일 동안 인터넷 익스플로러(Internet Explorer)의 CVE-2013-3897 취약점을 이용한 ‘키로거 서비스(Keylogger Service)’ 악성코드의 변종이 국내 유명 포털 사이트 카페를 이용해 유포된 것으로 알려져 포털 사이트 카페 이용자들의 PC 점검 필요성이 제기되고 있다.

더욱이 아직 국내 백신에서는 진단율이 낮을 뿐더러 집중적으로 우회하고 있기 때문에 치료가 어려운 것으로 알려져 더욱 주의가 요구되는 것으로 알려졌다.

이번 악성코드를 발견해 분석보고서를 발표한 NSHC Red Alert팀은 IE 취약점의 일종인 CVE-2013-3897은 해제된 메모리를 다시 사용할 때 발생하는 에러인 ‘Use After Free’를 이용한 취약점이라고 밝혔다. 

이번 공격에 사용된 익스플로잇 코드는 지난 10월말 발견된 ‘키로거 서비스’ 악성코드의 익스플로잇 코드에서 쉘 코드 내부에 있는 다운로드 URL만 다르고 모든 부분이 동일한 변종인 것으로 분석됐다.

특히, 이번에 발견된 악성코드는 한국어와 일본어를 사용하는 Windows XP의 IE 8.0 버전 사용자를 대상으로 공격을 진행했으며, PC 내 백신 드라이버에 공격을 감행해 백신의 동작을 방해하는 것으로 드러났다.  

이와 관련 Red Alert팀은 “현재는 해당 페이지에 대한 접근이 금지돼 더 이상 유포되고 있지는 않다”면서도 “국내 백신들을 타깃으로 집중적으로 우회를 시도한 점, 그리고 이전과 동일한 공격코드를 사용한 점 등으로 미루어보면 앞으로도 지속적인 공격이 예상된다”고 밝혔다. Red Alert팀은 이번에 발견된 악성코드 감염시 다음과 같은 대응방안을 제시했다.

1. 드라이버에 의해 레지스트 및 악성코드 파일 검색이 제한되기 때문에 루트깃 탐지 프로그램(ex. PCHunter: http://t.qq.com/epoolsoft)으로 악성코드 드라이버 ‘firnetrpds.sys’ 제거

2. 시스템 다시 시작 후, 아래 레지스트리 키 정리

- HKLM\SYSTEM\CurrentControlSet\Services\firnetrpds

<하위 키 및 Value 모두 삭제>

3. 시스템 다시 시작 후, 아래 경로 파일들을 모두 삭제

- %usertemp%\main001.gif

- %usertemp%\deacncvoidffn3pftsokw.exe

- %Windir%\system32\GooZooAoo\ZhejiuEn.exe

- %Windir%\System32\firnetrpds.sys

4. 취약점 패치가 이루어진 최신 버전 IE 다운로드

- http://windows.microsoft.com/ko-kr/internet-explorer/download-ie

한편, NSHC Red Alert팀에서 발표한 악성코드의 상세분석 보고서 전문은 보안뉴스 컨텐츠 코너(http://www.boannews.com/security_contents/info/list.asp)에서 다운로드 받을 수 있다.  
[권 준 기자(editor@boannews.com)]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))