포스팅 내용

악성코드 분석 리포트

IP를 10진수로 표기하여 백신 우회 시도하는 호스트파일 변조 악성코드 발견

IP를 10진수로 표기하여 백신 우회 시도하는 호스트파일 변조 악성코드 발견


일반적으로 사용자가 인터넷 웹페이지를 방문할 때에는 웹브라우저를 사용하며, 방문하고 싶은 페이지가 있으면 해당 페이지의 도메인 주소를 입력하여 이동합니다.


예를 들어 원래 줌닷컴의 IP주소는 121.189.40.10이지만, 사용자 편의를 위해 www.zum.com이라는 도메인 주소를 사용합니다. 둘 중 어떠한 정보를 넣어도 사용자는 줌 홈페이지에 접속할 수 있습니다.


뿐만 아니라 IP주소를 16진수, 8진수, 심지어 hex값으로 변환하여 입력해도 역시 변환하기 이전의 ip주소를 찾아가게 됩니다. 공격자들은 이를 악용하여 피싱 또는 파밍 공격을 시도합니다. 따라서 피해자들은 이로 인해 금융관련 피해를 입기도 하는데요. 이번에 새롭게 발견된 호스트파일 변조 악성코드는 이러한 특성을 이용하여 IP주소를 10진수로 표시했습니다. 기존 호스트파일 변조 악성코드를 탐지하는 백신에 대응하기 위해 교묘히 백신 우회를 시도했던 것입니다.


변조된 호스트파일


위 이미지에 나타난 2577565752는 153.162.136.56이라는 IP주소를 10진수로 표기한 것입니다. 16진수인 99A28838를 두 자리씩 배열하면 99 A2 88 38이 되며, 이것을 다시 10진수로 표기하면 153.162.136.56이라는 IP주소가 됩니다. 먼저 이해를 돕기 위해 2577565752의 16진수 표기법을 잠시 설명해드리겠습니다.


2577565752/16 = 161097859   (나머지 8)

161097859/16 = 10068616  (나머지 3)

10068616/16 = 629288 (나머지 8)

629288/16 = 39330 (나머지 8)

39330/16 = 2458 (나머지 2)

2458/16 = 153 (나머지 10)

153/16 = 9 (나머지 9)


※ 16진수 표기법

10 

11 

12 

13 

14 

15 

16 

1

B

G 


그래서 2577565752를 16진수로 표기하면 99A28838가 됩니다.


이는 지속적으로 발견되었던 일반적인 호스트변조 악성코드보다 진화된 유형으로, IP주소를 10진수로 변환하여 백신을 우회하려고 시도한 점에서 주의가 필요합니다. 또한 향후 10진수가 아닌 16진수, 8진수로 변환하여 표현하는 악성코드가 출현할 가능성도 있을 것으로 보입니다.


호스트파일 변조 탐지 화면


알약에서는 IP주소를 진수로 변환하여 표현하는 호스트파일 변조 악성코드에 위와 같이 대응하고 있습니다. 따라서 새롭게 발견된 호스트파일 변조 악성코드 감염이 염려되시는 사용자분들은 알약을 최신 상태로 업데이트하시고, 주기적으로 검사를 진행해 주시기 바랍니다.



  1. 2014.07.08 18:38  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 윤성수 2014.07.08 18:39  수정/삭제  댓글쓰기

    악성코드를 잡아주세요

  3. 2014.07.08 18:41  수정/삭제  댓글쓰기

    비밀댓글입니다

티스토리 방명록 작성
name password homepage