본문 바로가기
IT 보안소식

알약, Bredolab Worm 악성코드 주의

by 잡다한 처리 2010. 2. 12.
반응형

지난 9일 월요일부터 시작 된 Bredolab Worm에 대한 이스트소프트의 공지사항이 기재되었다.
이번 Bredolab Worm은 많은 종류의 악성코드가 합쳐져 있어서, 치료하기가 까다롭다;;
일명 "구정맞이 선물 종합선물 세트" 이다. ㅋㅋㅋ



- ESTsoft ALYac 공지사항

안녕하십니까?

이스트소프트 알약 보안대응팀입니다.

현재 Bredolab worm과 관련하여 악성파일이 많이 발생되어 문제가 되고 있습니다.

초기에는 E-mail로 유포되어 유포 후에는 USB와 같은 이동식 디스크로 전파가 가능하오니,
 
의심이 가는 E-mail은 가급적 열람하지 마시길 바라며, USB 사용에 주의해 주시기 바랍니다.

이미 알약에서는 업데이트를 완료해 현재는 해당 악성코드에 대한 진단 및 치료가 가능하며,

반드시 정밀검사로 치료해 주시기 바랍니다.

또한, 계속 출현할 수 있는 변종에 대해서도 긴급 업데이트를 실시하고 있으니, 항상 최신 DB 사용을

권장합니다.


[감염 증상]

Bredolab worm에 감염이 되면 다수의 악성코드 및 관련 파일을 다운로드하여 지속적으로

전파시킵니다. 이러한 증상으로 과도한 네트워크 트래픽을 유발하여 장애를 일으킵니다.

또한, 현재 계속 변종이 발생하고 있으며, hosts 파일에 더미값을 생성하고 윈도우의

기본 driver 파일을 악성코드로 변경합니다.2


[제거 방법]

현재 알약에서는 업데이트를 완료해서 알약으로 치료 및 제거가 가능합니다.

따라서 반드시 최신 DB를 사용하여 정밀검사로 치료해 주시기 바랍니다.


<알약 공개용 다운로드>2

  

<전용백신 다운로드>

  

 
[예방 방법]

1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.

2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.

3) 다음의 도메인 리스트를 차단할 것을 권고합니다.

hxxp://idfc2.info
hxxp://bhactuant.com
hxxp://judithfischer.com

 *http를 쓸 경우 링크가 생기므로 부득이하게 http를 hxxp로 표기합니다.


- nProtect 공지사항


■ Bredolab, Palevo 변종 악성코드 피해 주의

일명 "Bredolab" 과 "Palevo" 이름 등으로 널리 알려져 있고, 수 많은 변종이 등장하고 있는 악성코드들이 최근 Multi Downloader 기능 등을 탑재하여 다양한 형태의 공격과 피해를 유발시키고 있어, 설연휴 기간 동안 컴퓨터 사용자들의 각별한 주의가 요구된다.

최근 일부 기업과 개인 사용자들을 중심으로 네트워크의 트래픽이 과도하게 발생(시스템 리소스 감소)한다는 피해 사례 및 상담 접수 등이 증가하고 있는데, 이것은 Bredolab 형태의 악성코드가 가지고 있는 대표적인 감염 증상 중에 하나이며, 악성코드가 다량의 SPAM Mail 발송 시도 등의 과정 중에 나타나는 부작용이다.




악성코드가 컴퓨터에 유입되어 실행(감염)되면 다수의 사이트로 접속을 시도하고, 또 다른 악성코드 파일들을 다량으로 다운로드하여 추가 감염을 시키게 된다.

아래 그림은 악성코드가 접속을 시도하는 다양한 URL 주소들 중 일부를 저장한 화면이다.




악성코드가 감염되면 특징적으로 운영체제(Windows)가 설치되어 있는 로컬디스크(C:)의 최상위 경로에 정상파일처럼 위장한 가짜 lsass.exe 이름의 악성코드를 생성하며, 사용자 계정의 Temp 폴더에 영문으로 조합된 형식의 악성코드를 생성시키고 함께 작동하도록 만든다.





실행된 악성코드는 보안 제품(Anti-Virus)이나 작업관리자 등에 의해서 강제종료(제거)되는 것을 방해하기 위해서 일종의 자기보호 기능 목적의 프로세스 연동 기법을 사용한다.

"iqgfypvt.exe" 와 "lsass.exe" 의 실행 프로세스는 지속적으로 연동하여 재실행되도록 되어 있으며, 특히 lsass.exe 는 프로세스 아이디(PID)를 실시간으로 변경하기 때문에 선택적 종료와 Kill Process Tree 작업 등이 어렵게 된다.




악성코드는 감염된 상태에서 일정 시간이 흐르면 또 다른 변종들을 설치하기 때문에 다음과 같이 새로운 형태가 추가될 수 있다. 특징적으로 imPlayok.exe 악성코드는 "바탕 화면 보기" 아이콘처럼 위장하고 있는 것을 볼 수 있다.



explorer.exe 프로세스에는 압축프로그램 파일명처럼 위장한 wnzip32.exe 라는 악성코드가 Handles 로 연결되어 악성코드 재실행 기능 등으로 사용된다.



일부 서비스와 프로세스는 Rootkit Driver 기법을 통해서 2중 보호를 하고 있기 때문에 일반 사용자가 수동으로 해결하기가 어려운 형태의 악성코드이다.

아래 화면 중 적색 글씨 부분(황색 배경)이 Hidden 된 서비스와 프로세스 영역을 표시한 것이다.




iqgfypvt.exe 의 경우 임의의 특정 원격 주소지로 지속적으로 연결[IRC(6667), SMTP(25), Remote Connection]을 시도하며, 이 과정에서 비정상적인 네트워크 트래픽이 과도하게 발생함과 동시에 리소스 저하로 인하여 컴퓨터 속도가 저하될 수 있다.

이러한 악성코드는 Spam Mailer, IRCBot, Backdoor, BotNet, File Infector(Patched), Rogueware 유포 등의 유해 위협 요소로 작용될 수 있으며, 컴퓨터 사용자의 개인 정보가 유출되는 피해가 발생될 위험이 높다.

 

이와 같은 악성코드는 감염 시 치료가 까다롭고, 컴퓨터의 정상적인 작업에 큰 지장을 주기 때문에 미연에 예방하는 것이 그 무엇보다 중요한 부분이라 할 수 있다.

잉카인터넷 시큐리티 대응센터(ISARC)에서는 확보된 다수의 변형 악성코드에 대한 진단, 치료 기능을 지속적으로 업데이트하고 있으므로, nProtect Anti-Virus 제품 사용자분들의 경우 가장 최신 날짜의 패턴으로 업데이트하고, 실시간 감시 기능의 활성화를 통해서 사전에 유입되는 것을 차단하는 것이 최선책이라 할 수 있다.

더불어 다음과 같은 개인 보안 수칙을 준수하여 다양한 보안 위협에 노출되지 않도록 하는 노력이 필요하다.  

[기본 보안 관리 수칙]

- 사용중인 운영체제(OS)의 취약점을 보완하기 위하여 정기적으로 최신 서비스팩과 보안패치로 업데이트한다.

- Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위하여 최신 버전으로 사용한다.

- Firewall, Anti-Virus 등의 개인용 보안제품을 설치하고 항시 최신버전으로 유지하며, 실시간 감시 및 정기 검사를 진행한다.

- 불법 소프트웨어를 사용하지 않으며, 신뢰할 수 없는 정보나 유해 사이트 등의 접근을 하지 않도록 한다.

- 사용하고 있는 각종 로그인 암호는 다른 사람이 추측하지 못하도록 가능한 복잡하게 설정하고 정기적으로 변경한다.

- 사회적인 관심사나 특정 이슈 내용에 쉽게 현혹되어 신뢰할 수 없는 프로그램을 무심코 실행하지 않도록 한다. 

- 직접 설치하지 않았거나 증명되지 않은 프로그램의 경우 허위 제품 유무를 신중하게 판별한 후 사용하도록 한다.

[작성 : 시큐리티 대응센터 / 대응팀 / 문종현 팀장]


- VirusChaser 공지사항


바이러스 체이서 침해사고대응센터에서 알려드립니다. 

Trojan.DownLoad1.37182 Based 관련 2010-02-10 14:00 14:40 보안위협이 높은 상태 -> 경보 발령

현재 변종이 지속적으로 발견되고 있으며 또 다른 악성코드를 다운로드 하여 이후 바이러스가 자신의 실행을 은폐하기 위하여 다양한 방법을 이용합니다.
사용자가 사용하는 프로그램을 이용하여 자신과 교체하는 수법의 위장술을 사용하며 공유폴더, 이동식 저장매체, P2P사이트 등으로 자신의 전파를 시도합니다.

저희 바이러스체이서에서는 전용백신을 무료로 배포하고 있습니다.
관련 증상이 나타나는 경우 신속히 대처하시기 바랍니다.
감사합니다.

[전용백신]


댓글