보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

PC 최적화 프로그램에 숨어든 악성코드?!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-02-22

최근 ‘PC 최적화 프로그램’으로 위장하여 다운로드를 유도하고 실제로는 광고를 노출하는 불필요한 프로그램(PUP, Potentially Unwanted Program) 이 악성코드 유포에 이용된 정황이 포착됐다. 해당 악성코드는 사용자의 은행 사이트 접속을 방해하고 피싱 사이트로 유도해 금융 정보를 탈취하고 있어 각별한 주의가 필요하다.

 

PUP는 대부분 유틸리티 프로그램을 다운로드할 때 제휴 프로그램(스폰서 프로그램)으로 함께 설치된다. 최근 발견된 PUP 역시 이런 방식으로 사용자 PC에 설치되고, 주기적으로 업데이트 서버와 통신하며 새로운 파일을 다운로드하거나 실행한다. 

 

해당 PUP는 특정 서버의 URL를 참조하여 업데이트 파일을 다운로드 하는데, 악성코드 제작자가 바로 이 URL을 변조하여 업데이트 파일이 아닌 악성코드를 다운로드한 것이다. 이렇게 사용자 PC에 다운로드된 악성코드가 실행되면 %Temp% 경로에 다수의 특정한 파일을 생성한다. 

 

또한 악성코드는 윈도우(Windows) 파일(wshtcpip.dll과 midimap.dll)을 변조된 악성 파일로 교체하고, 이를 이용해 윈도우 프로세스 실행 시 악성 DLL 파일을 로드한다. 또 정상 윈도우 파일을 온라인 게임핵 기능을 가진 악성코드로 교체하고 추가적인 악성 행위를 하기 위해 [그림 1]과 같이 윈도우 호스트 파일을 변조한다.

 

  

[그림 1] 변조된 호스트 파일

 

이렇게 변조된 호스트 파일로 인해 사용자가 포털 사이트 및 은행 사이트에 접속하려고 할 때 해당 사이트가 아닌 피싱 사이트에 접속하게 된다. 

 

 

[그림 2] 피싱 페이지

 

[그림 2]와 같이 포털 사이트로 위장한 피싱 페이지와 함께 금융감독원으로 위장한 팝업창이 나타나 웹 서핑 등을 방해한다. 피싱 페이지는 전자 금융사기 예방 서비스 가입 절차를 구실로 사용자에게 개인정보 및 계좌번호, 보안카드 일련번호, OTP 번호 등을 입력하도록 유도한다. 

 

그러나 금융감독원 및 은행에서는 이와 같은 개인정보 입력을 요구하지 않는다. 사용자들은 평소 이 점을 유념하여 악성코드 및 피싱 사이트에 피해를 입는 일이 없도록 주의해야겠다. 또한 유틸리티 프로그램 설치 시, 설치 정보를 꼼꼼히 확인하여 제휴 프로그램 또는 스폰서 프로그램으로 함께 다운로드되는 PUP를 설치하지 않는 것이 바람직하다. 

 

한편, V3 제품군에서는 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 

 

<V3 제품군 진단명>

Dropper/Win32.Banki

Trojan/Win32.Banki 

Trojan/Win32.Banki 

Win-Trojan/Patched4.Gen

Win-Trojan/Patched4.Gen

 

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.