보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

불법 툴로 윈도우 정품 인증하면 안되는 이유

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-12-12
최근 윈도우 정품 인증 툴로 위장한 악성코드가 지속적으로 유포되고 있다. 해당 악성코드는 겉으로는 윈도우 정품 인증을 피할 수 있게 해주는 불법 도구 프로그램으로 위장하고 있지만, 실제로는 사용자 PC에 숨어들어 가상화폐를 채굴하는 마이너(Miner, 채굴 악성코드)다. 

(*이미지 출처:  shutterstock.com)

정품 소프트웨어 사용은 안전한 PC 이용의 기본이지만, 비용 절감 등의 이유로 일부 개인뿐만 아니라 사업장에서도 종종 복제판을 사용하고 있다. 대부분의 소프트웨어와 마찬가지로 윈도우 운영체제는 설치 후 정품 여부를 확인하기 위한 인증 키를 입력하도록 되어 있다. 인증 키를 입력할 때까지 정품 인증을 요구하는 메시지가 지속적으로 나타나며, 장기적으로는 사용에 제한이 발생하기도 한다. 정품 사용자라면 문제되지 않겠지만 복제판을 이용하는 사용자로서는 불편한 상황. 그러다 보니 윈도우 정품 인증을 회피할 수 있도록 도와주는 불법 툴을 찾는 경우가 있다. 이번에 유포된 악성코드는 이런 사용자를 노린 것이다. 

사용자는 포털 사이트나 커뮤니티 사이트 등을 통해 윈도우 정품 인증을 위한 불법 프로그램으로 위장한 악성코드를 다운로드하게 된다. 이렇게 다운로드 받은 파일(KMSPico10.2.1.exe)은 [그림 1]과 같이 악성 행위를 하는 배치 파일(KMSPICO_SETUP.bat)을 생성한다. 생성된 배치 파일은 정품 인증 파일(KMSPicoActivator.exe)을 실행시켜 정상적인 인증을 하는 것처럼 사용자들을 속이고 그 이후에 레지스트리에 등록하는 파일(Registry_Activation.exe)과 마이너 악성코드(Activation.exe)를 실행한다. 
 

[그림 1] 윈도우 정품 인증 툴로 위장한 악성코드의 실행 과정

생성된 배치 파일([그림 2] 참고)을 살펴보면, 공격자는 설치와 패치가 정상적으로 진행되는 것처럼 위장하기 위해 “47%”, “78%”와 같은 진행률을 표시하는 동시에 레지스트리 등록 파일과 마이너를 실행했다.


[그림 2] 배치 파일 내부

해당 가상화폐 채굴 악성코드는 윈도우 기반 모네로(Monero) 채굴 프로그램인 XMRig 설정 파일과 유사하게 제작되었다.

이와 같이 불법 프로그램으로 위장한 악성코드 감염을 예방하려면, 제작사 홈페이지에서 정품 소프트웨어를 다운로드 하는 것이 중요하다. 또한 인터넷에서 다운로드 한 파일을 실행하기에 앞서 최신 버전으로 업데이트된 V3로 실시간 검사를 실행하도록 한다. 만일 시스템이 이전과 달리 현저하게 느려졌다면 채굴 악성코드에 감염되었을 가능성도 있으므로 V3 정밀 검사 기능을 통해 시스템을 전체적으로 검사할 것을 권장한다.

V3 제품군에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명> 
Malware/Win32.Generic
  • AhnLab 로고
  • ASEC 대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기