가짜의 가짜? SW 해적판으로 위장한 악성코드!

최근 국내 유명 문서 프로그램의 불법 복제 설치 파일로 위장한 악성코드가 발견돼 사용자의 주의가 요구된다. 예전에 비해 나아지긴 했지만 여전히 유료 정품 소프트웨어 대신 불법 복제 소프트웨어, 이른바 해적판을 이용하는 사용자들이 적지 않다. 악성코드 유포자 또한 이 점을 파고든 것이다. 

이번에 발견된 악성코드는 [그림 1]과 같이 국내 유명 문서 프로그램의 불법 복제 설치 패키지로 위장해 유포되었다. 이 불법 복제 패키지에서 설치 파일로 위장하고 있는 악성코드인 install.exe는 유명 문서 프로그램의 아이콘으로 위장하고 있을 뿐만 아니라 등록 정보에도 버젓이 해당 소프트웨어 제조사 이름을 도용하고 있다. 

 

[그림 1] 유명 문서 프로그램의 설치 패키지 해적판으로 위장한 악성코드

[그림 1]의 install.exe 파일을 실행하면 C:\ 드라이브의 최상위 경로에 파일을 추가로 생성하는데, 이렇게 생성된 파일 중 하나는 [그림 2]와 같이 감염 PC에서 특정 백신 프로그램이 실행되고 있는지 확인한다. 

 

[그림 2] 특정 백신 프로그램의 실행 여부 확인

install.exe을 실행해서 생성된 파일은 또 이 악성 프로그램 내부에 하드코딩 된 특정한 URL에 접속하여 또 다른 악성코드를 추가로 다운로드한다. 이렇게 추가로 다운로드된 악성코드는 감염 PC의 레지스트리에서 방화벽 허용 프로그램에 자가 복제한 악성코드를 등록한다. 방화벽 허용 프로그램으로 등록함으로써 PC의 시스템 정보를 유출하거나 또 다른 악성코드를 추가로 다운로드하는 등의 악의적인 행위를 할 수 있게 된다. 

또한, 이 악성코드가 공격자의 명령을 받기 위해 접속하는 C&C 서버에는 웹셸로 유명한 c99shell(c99.php) 파일이 존재하는 것으로 확인됐다. 러시아산 웹셸 악성코드로 알려진 c99Shell을 통해 공격자는 웹 서버 시스템의 관리자 권한을 획득하여 웹 서버의 주요 정보와 데이터베이스 정보를 유출하거나 변조할 수 있다. 

 

[그림 3] c99Shell 

V3 제품군에서는 관련 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

- Trojan/Win32.Xyligan

- Trojan/Win32.Agent 

- Win-Trojan/Agent.70144.KG 

- JS/SARS.S40

해적판(불법 복제) 소프트웨어는 커뮤니티 사이트나 토렌트 등 P2P 서비스를 통해 불법적으로 공유된다. 이런 불법 공유 프로그램을 설치하면 파일 이름과 달리 엉뚱한 프로그램이 설치되거나 원하는 프로그램이 설치되더라도 애드웨어와 같은 사용자가 원치 않는 프로그램이 함께 설치되는 경우가 허다하다. 싱가포르 국립대학(National University of Singapore) 공학부가 최근 발표한 '해적판 소프트웨어의 사이버 보안 위험성 평가' 보고서에 따르면, 불법 복제 소프트웨어가 설치된 노트북과 데스크톱 컴퓨터 중 92%가 위험한 악성코드에 감염된 것으로 알려졌다.

악성코드 감염 여부를 떠나 불법 복제 소프트웨어는 그 자체로 반드시 근절되어야 하는 악습이다. 사용자의 안전뿐만 아니라 소프트웨어 산업의 발전이 결국 장기적으로 사용자 편의성과 관련 있다는 점에서 불법 소프트웨어 사용을 지양하는 것이 바람직하다. 

• 
• ASEC대응팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com