토렌트에서 유포되는 '도움말 파일' 악성코드 주의

최근 P2P 사이트인 토렌트를 이용해 악성코드를 유포하는 사례가 늘고 있다. 토렌트는 웹하드에 파일을 업로드하고 내려받는 방식이 아니라 다수의 피어와 통신함으로써 서버에 업로드 없이 파일을 공유할 수 있다. 또 다운로드 속도가 빨라 많은 인기를 끌고 있으며, 전 세계적으로 사용자가 증가하고 있는 추세다. 하지만 이러한 토렌트의 특징을 악용하여 악성코드가 유포되면 짧은 시간에 많은 사용자에게 피해를 줄 수 있다.

 

 

[그림 1] 마그넷에 포함된 악성 파일

 

이번에 발견된 악성코드는 마그넷에 정상 파일과 악성 파일을 함께 배포하는 방법을 사용했다. 해당 악성코드는 정상 동영상 파일과 악성 도움말 파일(CHM)을 함께 유포했다. ‘필독’, ‘꼭 읽어보세요’ 등 눈에 띄는 문구로 사용자에게 실행을 유도했다.

 

 

 

[그림 2] 악성 도움말 파일

 

일부 마그넷 공유 사이트에서는 문제의 심각성을 인지하고 다운로드 받은 파일에 CHM 파일이 있으면 실행하지 말라는 안내문을 게시하기도 했다.  

 

[그림 3] 공유 사이트의 안내문

 

 

도움말 파일의 콘텐츠는 HTML 포맷을 따르고 있어 HTML의 태그를 이용한 악성 링크나, 소스가 삽입돼 있을 경우 도움말 파일을 실행, 악성코드에 감염될 수 있다.

 

 

[그림 4] 도움말 파일(좌), 도움말 파일의 소스(우)

 

도움말 파일을 실행하면 [그림 4]의 (좌)와 같은 화면이 사용자에게 보인다. 하지만 [그림 4]의 (우)처럼 실제 소스에는 악성 VBS를 생성하고 실행시키는 소스가 삽입돼 있다.  도움말 파일에 의해 생성된 VBS는 최종적으로 http://43****.3u****ies.com/update.exe에 접근, 악성코드를 다운로드한다. 

 

 

[그림 5] 파일명을 ahnlab으로 변경한 악성코드

 

다운로드된 악성코드는 일반적으로 사용자들에게 신뢰를 주기 위해 프로그램을 ahnlab.exe, cclener.exe 등으로 파일명을 변경한 후 시작프로그램에 등록해 주기적으로 실행된다.

 

토렌트는 별도의 서버를 거치지 않고 누구나 파일을 공유할 수 있다는 장점이 있다. 하지만 서버가 없기 때문에 파일 검증이 이뤄지지 않아 앞으로도 악성코드의 유포지로 악용될 소지가 다분하다. 앞서 다룬 도움말 파일을 이용한 유포 외에도 파일의 확장자를 변경하여 실행을 유도하는 등 다양한 방법으로 악성코드가 유포되고 있어 토렌트를 사용할 때에는 각별한 주의가 필요하다.

 

이와 같은 악성코드의 피해를 예방하려면 ▲출처가 불분명한 파일이나 불법 파일 다운로드 금지 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 설치, 자동업데이트 및 실시간 감시 기능 실행 등이 필요하다.

 

안랩의 V3 제품군에서는 관련 악성코드를 다음과 같이 진단하고 있다. @ 

 

<V3 제품군의 진단명>
Trojan/Win32.Kazy (2015.05.27.01)
VBS/Psyme (2015.05.28.02)
CHM/Dropper (2015.05.28.02)