국방 관련 한글파일로 위장한 악성 파일 발견!

한글 파일 실행되면 악성코드가 함께 생성돼

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)는 최근 이메일의 첨부파일로 특정 대상을 위해 제작해 유포되었을 것으로 추정되는 한글문서 파일을 위장한 악성코드가 발견되었다고 밝혔다.

아래 그림의 왼쪽의 ‘정상 한글 파일.hwp’ 파일이 정상파일이며 오른쪽의 한글 파일과 유사한 아이콘을 가진 ‘XXX 연구용역 관련.exe’파일이 악성파일이다.

아래 ‘국방정책 최종 자료입니다.exe’ 파일은 최근에 발견된 또 다른 유사한 악성코드이다.

유사한 파일들을 추적해 본 결과 2012년 6월부터 발견되기 시작했으며 2012년 11월부터 조금씩 발견 건수가 늘어나고 있지만 그 수는 3개 이하이다. 즉, 공격을 시도할 특정 타깃에게만 유포되는 것으로 추정된다.

해당 악성코드는 한글문서 아이콘을 사용하지만 실행 파일(SFX 압축 파일)로 확인된다. 사용자가 한글문서로 착각하여 실행할 경우 악성코드에 감염된 것을 인지할 수 없도록 아래와 같은 한글문서(hwp.hwp)가 실행된다.

▲ 한글문서 파일 실행 화면

한글 파일이 실행되면 아래와 같은 악성코드가 함께 생성된다.

그리고 아래와 같은 레지스트리 값을 생성해 서비스로 동작하도록 구성되어 있다.

악성코드에 감염되면 키보드에 입력된 정보가 kl.log 파일에 저장된다. 또한 bug.log 파일에 에러로그가 저장되는 것으로 추정된다.

▲ kl.log 키로깅 파일

다음은 kl.log 파일과 함께 생성된 bug.log 파일을 메모장으로 열어본 화면이다.

▲ bug.log 파일 정보

kl.log 파일을 열어보면 사용자가 키보드로 입력한 키로깅 정보가 저장되며 추후 키로깅한 정보를 외부로 유출할 것임을 확인할 수 있다.

▲ kl.log 파일에 저장된 키로깅 정보

V3 제품에서는 아래와 같이 진단이 가능하다.

·Win-Trojan/Agent.261705 (V3, 2013.01.28.00)

·Win-Trojan/Agent.236544.AP (V3, 2013.02.03.00)

·Dropper/Plugx.307690 (V3, 2013.02.03.00)

·Dropper/Agent.232173 (V3, 2013.01.28.03)

·Backdoor/Win32.Etso (AhnLab, 2012.07.05.00)

·Win-Trojan/Agent (V3, 2013.01.28.03)

[김태형 기자(boan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다