포스팅 내용

이스트시큐리티 소식

3.20 사이버테러에서 사용된 유사 악성코드 발견... 사용자 주의

안녕하세요. 알약입니다. 


2013년 3월 20일, 이 날 무슨 일이 일어났는지 기억하고 계신가요?

악성코드로 인해 대한민국의 주요 언론 및 금융권의 전산망이 마비되고, 상당수 컴퓨터가 하드디스크 파괴, 백업서버 오류 등 피해를 입은 사건. 바로 ‘3.20 사이버테러’가 발생한 날입니다.


그런데 최근 3.20 사이버테러 때 발견되었던 악성코드와 유사한 악성코드가 출현하였습니다. (▶관련기사 참고) 공격자는 취약한 어플리케이션 변조 및 취약한 홈페이지에 악성스크립트를 삽입하는 방법으로 악성코드를 유포하였습니다. 해당 악성코드에 감염되면 XXX.gif의 확장자명을 가진 악성코드가 다운로드 됩니다. 

 

악성코드가 내려주는 이미지로 위장된 파일


다운로드 된 악성코드는 사용자 PC에서 실행되며, C&C서버와 통신하기 전, 사용자 PC의 분석환경을 체크합니다. 그리고 만약 사용자 PC가 해당 악성코드에 감염되어있지 않은 상태라면, 감염을 시킨 후 현재 감염 PC의 정보를 수집하여 C&C서버로 전송합니다. 

 

사용자 PC정보를 C&C서버로 전송하는 코드


해당 악성코드에 감염된 PC는 비정기적으로 C&C서버로 접속하여 공격자의 명령을 하달 받거나, 추가적인 악성코드를 내려 받습니다. 이 때 사용된 C&C서버들 중에서는 3.20 사이버테러때 사용되었던 C&C서버들도 발견되었습니다.


해당 악성코드는 특정 백신을 무력화 시키는 기능을 갖고있을 뿐만 아니라, 백신업체들이 자신을 분석하는 것을 막기 위하여 다양한 방법을 이용하여 실행환경을 확인합니다. 만약 자신이 실행되는 환경이 가상환경임이 발견되면 즉시 프로세스를 종료시킵니다.

 

가상환경인지 체크하고 가상환경이라면 바로 종료


현재 알약에서는 해당 악성코드들에 대하여 Trojan.Agent.SPA, Trojan.Agent.603384로 탐지하고 있으며, 지속적으로 모니터링 중에 있습니다. 


사용자 여러분께서는 사용하시는 백신의 DB를 최신으로 업데이트하시고, 상용 프로그램 및 윈도우 OS의 버전을 최신으로 업데이트하여 해당 악성코드에 피해를 최소화 해주시기 바랍니다. 



  1. Ec0nomist 2014.07.10 23:51 신고  수정/삭제  댓글쓰기

    아하.... 그 xxx.gif 파일 내부에 Anti-VM 기능이 있었군요. ㅇㅅㅇ(못찾았는데 ㅠ) 그리고 xxx.gif 다음에 fxxxxr.php에 관한 내용도 보고 싶습니다 ㅠㅠ

    글 잘봤습니당 ^^

    • 알약(Alyac) 2014.07.21 13:07 신고  수정/삭제

      EcOnoMist님 안녕하세요! 먼저 답변이 늦어져 죄송한 말씀 드립니다. 3.20 유사 악성코드와 관련하여 NSHC에서 분석리포트를 제공하고 있으니, 그 부분을 참고해주시면 감사하겠습니다. 또한 내부 사정상 자세한 분석은 어려운 실정이라, 관련하여 추가적으로 궁금한 사항이 있으시면 말씀 부탁 드리겠습니다. 알약 블로그를 관심있게 봐주셔서 감사합니다. ^^

티스토리 방명록 작성
name password homepage