알약(ALYac), 3.20 사이버테러에서 사용된 유사 악성코드 발견, 사용자 주의




이스트소프트(ESTsoft)사의 보안프로그램인 알약(ALYac)에서 2013년 3월 20일 3.20 사이버테러와 유사한 악성코드에 대한

주의 내용이 알약 공식 블로그에 올라왔습니다.


개인적으로 정리를 좀 하고 싶긴한데, 

시간이 조금 흐른후에^^ 정리 해서 올리는게 좋을 듯 해서 이번에는 PASS!!




- 원본 링크 : http://blog.alyac.co.kr/131

안녕하세요. 알약입니다. 


2013년 3월 20일, 이 날 무슨 일이 일어났는지 기억하고 계신가요?

악성코드로 인해 대한민국의 주요 언론 및 금융권의 전산망이 마비되고, 상당수 컴퓨터가 하드디스크 파괴, 백업서버 오류 등 피해를 입은 사건. 바로 ‘3.20 사이버테러’가 발생한 날입니다.


그런데 최근 3.20 사이버테러 때 발견되었던 악성코드와 유사한 악성코드가 출현하였습니다. (▶관련기사 참고) 공격자는 취약한 어플리케이션 변조 및 취약한 홈페이지에 악성스크립트를 삽입하는 방법으로 악성코드를 유포하였습니다. 해당 악성코드에 감염되면 XXX.gif의 확장자명을 가진 악성코드가 다운로드 됩니다. 


(악성코드가 내려주는 이미지로 위장 된 파일)


다운로드 된 악성코드는 사용자 PC에서 실행되며, C&C서버와 통신하기 전, 사용자 PC의 분석환경을 체크합니다. 그리고 만약 사용자 PC가 해당 악성코드에 감염되어있지 않은 상태라면, 감염을 시킨 후 현재 감염 PC의 정보를 수집하여 C&C서버로 전송합니다. 


(사용자 PC정보를 C&C서버로 전송하는 코드)


해당 악성코드에 감염된 PC는 비정기적으로 C&C서버로 접속하여 공격자의 명령을 하달 받거나, 추가적인 악성코드를 내려 받습니다. 이 때 사용된 C&C서버들 중에서는 3.20 사이버테러때 사용되었던 C&C서버들도 발견되었습니다.


해당 악성코드는 특정 백신을 무력화 시키는 기능을 갖고있을 뿐만 아니라, 백신업체들이 자신을 분석하는 것을 막기 위하여 다양한 방법을 이용하여 실행환경을 확인합니다. 만약 자신이 실행되는 환경이 가상환경임이 발견되면 즉시 프로세스를 종료시킵니다.

 

(가상환경인지 체크하고 가상환경이라면 바로 종료)


현재 알약에서는 해당 악성코드들에 대하여 Trojan.Agent.SPA, Trojan.Agent.603384로 탐지하고 있으며, 지속적으로 모니터링 중에 있습니다. 


사용자 여러분께서는 사용하시는 백신의 DB를 최신으로 업데이트하시고, 상용 프로그램 및 윈도우 OS의 버전을 최신으로 업데이트하여 해당 악성코드에 피해를 최소화 해주시기 바랍니다. 



댓글(0)

Designed by JB FACTORY