남아공 월드컵을 악용한 악성코드 주의보(안철수 보안 연구소)

[마운틴]

남아공 월드컵을 악용한 악성코드 주의보 [안철수 보안 연구소]

■ 남아공 월드컵을 이용한 악의적인 PDF 문서
 
 어도비 아크로벳 리더의 잘못된 TIFF 이미지 파싱 관련 취약점을 이용한 악성코드 유포 사례가 국외에서 발견, 보고 되었다. 여기에 사용된 주제는 2010 남아공 월드컵 관련 내용으로 위장 되어 있었다. 악의적인 PDF 는 기존에 알려진 CVE-2010-0188 취약점을 가지고 있었다. 메일로 전송 되었던 해당 악성코드는 취약한 어도비 아크로벳 리더에서 읽혀진 경우 TIFF 파일에 대한 잘못된 파싱과 이를 통하여 쉘코드가 실행 되며, 이후 특정 폴더에 악성코드 파일을 생성하고 정보의 유출을 시도 할 것으로 보인다. 최근에 연이은 PDF 보안 문제가 불거지고 있는 만큼 해당 응용 프로그램 사용자는 반드시 보안 업데이트를 하기 바란다.
 

[그림 1-5] 취약점이 있는 PDF 문서 실행 과정

■ Windows Mobile 계열에서 동작하는 악성코드 국내발견 주의보
 
 국내에서 윈도우 모바일 계열 (5.0, 6.1, 6.5버전) 에서 동작하는 스마트폰 악성코드인 WinCE/TredDial.a (일명 3D Antiterrorist)가 발견, 보고 되었다. 해당 악성코드는 게임 어플리케이션에 포함 되어 발견 되었다. 해당 악성코드의 실행 후 증상은 임의로 특정 전화번호의 국제전화를 무단으로 발신 하도록 되어 있었다. 이 경우 사용자에게 원치 않는 통신비가 과금 되는 상황이 발생 된다.
 이용된 게임명은 ‘3D Antiterrorist’ 이며 다음과 같은 ‘antiterrorist3d.cab’ 파일명을 가지고 있다. 실행 시에는 Program Files 폴더에 reg.exe가 설치되며, 시스템 폴더에 smart32.exe라는 이름으로 해당 파일을 복사한다. 또한 해외 Premium-rate number에 국제전화를 시도하여 국제전화 과금을 발생시킨다.
 

[그림 1-6] V3 Mobile을 이용한 WinCE/TredDial.a 진단/치료 화면

 최근 들어 스마트폰 사용자가 많아지고 다양한 스마트폰 OS 가 선을 보이고 있다. 스마트폰 응용 프로그램도 PC 응용 프로그램과 마찬가지로 하나의 응용 프로 그램이다. 그러므로 많은 사용자가 사용한 프로그램이거나 공식적인 경로를 통해서 구입 및 설치한 신뢰 할 수 있는 프로그램인지를 다운로드 및 설치 전에 확인 할 필요가 있다.
 
■ Blackhat SEO 기법 위협의 증가
 
 안철수연구소를 비롯한 유명 안티 바이러스 업체에서는 올 한 해 이슈가 커질 보안 위협으로 블랙햇 SEO(Blackhat Search Engine Optimization) 기법을 이용한 악성코드 유포나 온라인 사기에 대하여 언급 하였다. 해당 기법은 검색순위가 높은 단어나 혹은 특정 주제에 대하여 사용자가 검색 사이트를 통하여 검색을 하여 접속 한다는 사실로부터 시작 된다. 사이버 범죄자들은 악성코드 유포지나 온라인 사기를 벌일 수 있는 웹 사이트를 만들어 놓고 검색 사이트에서 사용자가 히트율이 높은 단어나 주제에 대하여 검색 했을 때 자신이 제작해둔 사이트를 상위로 노출 시키도록 하는 것이다. 이들은 대부분 악성코드를 유포하도록 하거나 온라인 신용카드 사기를 발생 시키고 있다. 주로 국외에서 자주 보고 되었고 이전 볼륨(Volume)에도 언급 한 것처럼 국내 유명 피겨 선수의 동영상을 가장한 웹 사이트들이 Blackhat SEO 기법을 통하여 알려진 사례가 있었다. 4월에는 타 안티 바이러스 업체의 오진 정보를 가장한 웹 사이트가 발견, 보고 되기도 하였다. 사용자들은 공식적이거나 신뢰할만한 웹 사이트에서 정보를 얻는 것이 좋으며 일부 안티 바이러스 업체에서 제공하는 평판기반 또는 사이트 분석기반의 보안제품의 기능을 이용하여 안전한 웹 서핑을 하는 것도 도움이 된다.
 
■ 스팸 메일을 통한 악성코드 유포
 
 최근 아래와 같이 이메일 계정의 도메인 이름을 제목으로 하여 클릭을 유도하는 스팸 메일이 유포되고 있다.
 
제목: *도메인* account notification
 
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to believe that your account may have been accessed by someone else. Please run attached file and Follow instructions
(C) *도메인*
 
 제목은 예를 들어 사용하는 이메일 계정이 id@ahnlab.com 이라면 메일 제목은 "ahnlab.com account notification" 으로 스팸 메일이 들어오게 됩니다. 해당 메일 에는 첨부파일이 포함되어 있거나 혹은 URL 링크가 포함되어 있다. 이러한 메일에 첨부된 파일이나 URL 링크를 통해 받는 파일은 악성코드이므로 실행하지 않도록 주의해야 한다.
 
■ ActiveX를 통해 전파되는 악성코드
 
 최근 국내 포털 업체의 BGM Player와 CafeOn으로 위장하여 키보드의 입력 값을 훔치는 키로거(Keylogger)를 설치하는 악성 ActiveX가 발견되었다. 이번에 발견된 악성코드의 특징은 기존 악성코드들과는 다르게 파일에 대한 디지털 서명까지 포함되어 있었다는 점이다. 신뢰되지 않은 사이트에서 ActiveX 설치를 요구한다면 주의를 해야 한다.
 

[그림 1-7] 악성코드 파일의 디지털 서명

■ 보안 제품을 공격하는 악성코드
 
 최근 발견된 온라인 게임의 계정을 탈취하는 스파이웨어인 스파이웨어 피더블유 에스 온라인게임(Win-Spyware/PWS.OnlineGame)의 경우 특정 보안 제품 관련 모듈을 변조시켜 정상 작동을 방해하는 기능을 가지고 있다. 따라서 해당 스파이웨어 감염 되었을 경우 해당 보안 제품의 특정 기능이 정상적으로 동작하지 못하는 경우가 발생하고 있다. 이는 과거 자신을 진단하고 치료하는 보안 제품을 우회하는 기법이 변화된 것으로 해당 스파이웨어 이외 다른 보안 위협에도 지속적으로 노출될 수 있는 문제점을 야기한다. 이러한 스파이웨어는 주로 인터넷 웹 브라우저 보안 취약점이나 운영체제의 보안 취약점을 통해 감염되므로 사용자는 수시로 보안 패치를 수행해 외부의 공격을 예방하는 것이 좋다. 또한 의심스러운 이메일이나 링크를 클릭하지 않는 습관도 중요하다.
 
■ 끊임 없는 가짜 백신
 
 가짜 백신으로 인한 사용자 피해가 끊이질 않고 있다. 과거 가짜 백신은 ActiveX 컨트롤을 통해 불특정 다수의 사이트에서 배포 되었는데, 여러 보안 업체 및 관련 기관의 노력으로 인해 그 수가 많이 줄어 들었다. 하지만 최근 가짜 백신은 보안 취약점, 다른 애드웨어의 번들 또는 업데이트 프로그램을 사용, 웹 하드와 같은 인터넷 서비스의 제휴 프로그램으로 설치하는 사례가 부쩍 늘어나고 있다. 이렇게 설치된 가짜 백신의 경우 사용자 컴퓨터를 정상적으로 사용할 수 없도록 파일의 실행을 차단하거나, 바탕화면을 변경시켜 사용자의 불안감을 조성하고 허위 또는 과장된 진단 결과를 지속적으로 노출시켜 사용자의 유료 결제를 유도한다.
 

[그림 1-8] 사용자 동의 없이 설치된 가짜 백신

 이러한 가짜 백신은 위와 같은 배포 및 설치 방법으로 인해 사용자가 직접 설치한 기억이 없는 제품이 대부분이다. 이러한 가짜 백신은 지속적으로 허위 또는 과장된 진단 결과를 보여줌으로 사용자의 불안감을 조성하며 정상적인 서비스 센터를 운영하지 않는다. 그리고 대부분 자동 결제 연장 서비스로 인해 매달 일정 금액이 자동으로 결제되는 문제를 가지고 있다. 따라서 이러한 피해를 막기 위해서는 새로운 프로그램을 설치하거나 서비스를 사용할 경우 무조건 "예"를 눌러 진행하지 말고 추가로 설치되는 프로그램이 있는지 잘 살펴 보아야 하며 해당 프로그램이나 서비스가 나에게 정말 필요한 것인가를 다시 한번 살펴보고 진행하는 것이 중요하다.

[꿈나무]

좋은정보 보면서 쉬어 갑니다. 감사 합니다.