최신 영화 파일로 위장한 악성코드 주의!

토렌트를 통해 꾸준히 유포되는 악성코드는 시종일관 동일한 수법을 사용한다. 인기 있는 영화나 드라마의 아이콘과 확장자를 동영상 파일처럼 위장하는 것이다. 최근 유명 영화의 동영상 파일로 위장한 악성코드가 또 다시 발견돼 사용자들의 주의가 요구된다. 

 

 

해당 악성코드는 겉보기엔 동영상 파일로 보이지만, 폴더 옵션 내 보기 탭에서 [알려진 파일 형식의 파일 확장명 숨기기]를 비활성화하면 확장자가 SCR(화면 보호기)인 악성 파일임을 확인 할 수 있다.

 

이 악성코드는 이전부터 지속적으로 유포되는 XtremeRAT이다. RAT(Remote Administration Tool)는 감염 시스템을 원격으로 조종하며 주로 클립보드, 시스템 내 데이터 등을 유출하는 키로깅 기능이 존재한다. 또한 레지스트리에 등록되어 시스템 시작 시 자동실행 된다. 

 

이후 감염된 시스템 내 데이터 유출 이외에도 프로세스 제어, 화면 캡처 등의 악의적인 기능을 수행한다. 시스템을 장악한 악성코드는 사용자가 감염된 사실을 인지하지 못하게 ‘C:\WINDOWS’ 경로에 정상 토렌트 설치파일을 생성한 뒤 실행한다.

 

 

V3 제품에서는 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.Injector (2016.06.19.03)

 

토렌트를 통해 공유되는 영화나 드라마 파일을 이용해 악성코드를 유포하는 사례는 꾸준히 발견되고 있다. 특히 최근 급증하고 있는 랜섬웨어도 토렌트 사이트를 통해 유포되고 있으며, 아예 ‘토렌트락커(TorrentLocker)’라고 명명된 랜섬웨어도 있을 정도다. 

 

토렌트를 통해 악성코드가 유포되는 방법에는 다운로드 파일이 정상 파일로 위장한 악성코드이거나, 다운로드 파일 중 일부가 악성코드인 경우를 포함해 여러 형태가 있다. 사용자는 토렌트를 통해 파일을 다운로드 할 때 폴더에 있는 파일 전체를 의심 없이 내려 받는 경우가 많은데, 여기에 포함된 악성코드가 사용자의 컴퓨터에서 악성 행위를 하게 되는 것이다. 이 밖에도 저작권 침해 우려가 있는 만큼, 토렌트 이용에 주의가 필요하다. 

 

▶더 알아보기: “토렌트, 왜 위험하다고 할까?”