보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

동영상 재생 프로그램을 이용한 악성코드

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2013-09-05

최근 사용자가 많은 무료 동영상 재생 프로그램을 이용한 악성코드가 발견됐다. 이용자가 많은 프로그램이나 광고 프로그램의 업데이트 기능을 이용한 악성코드 유포 사례가 증가하고 있는 만큼 사용자들의 각별한 주의가 요구된다.

 

[그림 1]은 외부 해킹 공격에 따른 동영상 프로그램의 긴급 공지 내용을 나타낸 화면이다.

 


[그림 1] 해킹에 따른 긴급 공지


분석 당시 악성코드 유포 경로를 정확히 확인할 수 없었지만 외부에 공개된 내용을 참고하면, KMPlayer 3.7.0.87 버전 업데이트 알림이 사용자에게 나타나고 업데이트 기능을 이용해 악성코드가 유포된 것으로 추정된다. 현재 KMPlayer 홈페이지에서 배포하고 있는 최신 버전은 3.6.0.87 버전이다.


[링크참고]
http://www.icst.org.tw/NewsRSSDetail.aspx?seq=14548&RSSType=news&lang=zh
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018

 

해당 악성코드는 ‘KMPlayer 3.7.0.87.exe’를 파일명으로 사용하고, SFX 압축파일 형태로 제작됐다.

 


[그림 2] KMPlayer 3.7.0.87.exe


이번에 발견된 악성코드는 디지털 서명을 이용해 백신 탐지를 우회하도록 정교하게 제작돼 있었다.


사용자의 컴퓨터 시스템이 윈도우 XP 운영체제일 경우 All Users 폴더에 [그림 3]과 같은 파일이 생성된다. 사용자의 컴퓨터 시스템이 윈도우 7일 경우에는 ProgramData 폴더에 [그림 4]와 동일한 악성코드가 생성된다.

 


[그림 3] 윈도우 XP 상에서의 파일 생성 경로

 


[그림 4] 윈도우 7 상에서의 파일 생성경로

 

해당 악성코드는 PlugX 악성코드로 사용자의 키보드 입력정보를 NvSmart.hlp 파일에 저장해 탈취한다. 악성코드는 특정 서버로의 접속을 시도하며, 키로깅 정보 및 시스템 정보 등을 전송할 것으로 추정된다.


해당 악성코드는 V3 제품군에서 진단 및 치료가 가능하다.@

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.