중국 광고 팝업 발생 악성코드 확산

에스지어드밴텍, Hosts 파일 변경 악성코드 확산 경고

에스지어드밴텍은 지난 5일부터 Hosts 파일이 지속적으로 변경되거나 중국발 성인 광고창의 발생하는 장애 접수가 지속되고 있어 그에 대한 주의가 필요하다고 9일 바이러스체이서 홈페이지를 통해 밝혔다.

현재 발견된 악성코드는 다음과 같은 증상과 특징을 보인다.

▲ 해킹된 사이트에 사용자가 접근, 취약점에 의한 바이러스가 실행ㆍ감염

▲ 중국어 성인 광고 팝업 발생

▲ 지속적인 Hosts 파일 변경

▲ 이동식 디스크의 자동 실행 기능으로도 전파

이에 에스지어드밴텍 측은 “이외에도 지난번 www.3929.cn으로 시작페이지 고정하던 악성코드와 같이 최초 설치된 악성코드(Trojan.NtRootKit.Based)에 의해 다수의 악성코드가 다운로드 받아 설치하므로 개인정보를 유출하거나 ARP Spoofing 을 일으켜 네트워크 장애 발생시킬 수 있어 더욱 주의를 바란다”며, “악성코드 내부에는 MS08-067에 대한 공격 코드를 포함하므로 사용자는 해당 취약점에 대한 보안 패치를 실시할 것”을 권고했다.

에스지어드밴텍 측에서 이번 악성코드와 관련해 밝힌 상세한 내용은 다음과 같다.

■ 바이러스 요약

▲ 해킹된 사이트에 사용자가 접근해 취약점에 의한 바이러스가 실행되어 감염

▲ 직원들은 평소 자신이 이용하던 웹사이트 방문 중 은닉된 악성코드가 사용자가 모르도록 윈도우 취약점을 공격해 설치

▲ 증상은 웹 브라우저 무작위로 팝업 광고 메시지 수행

▲ 최초 설치된 악성코드에 의해 다수의 악성코드가 다운로드

▲ 다운로드 된 악성코드 중 일부 ARP Spoofing을 일으켜 네트워크 장애 발생

▲ Hosts 파일 변경으로 특정 보안 사이트 접속 불가

▲ 이동식 디스크의 자동 실행 기능으로도 전파

이에 에스지어드밴텍 측은 “해당 악성코드는 매 시간마다 새로운 변종이 발생(백여 종 이상) 대응의 어려움 존재”한다고 덧붙였다.

■ 바이러스 유입 경로

이번 바이러스는 중국 발 바이러스로 확인되고, 보안이 취약한 국내의 유명 사이트를 공격해 해당 바이러스를 웹 서버에 은닉하고 있다.

사용자는 해킹된 사이트에 접근해 최초 유입되었으며 유입된 시스템은 취약점에 의한 바이러스 실행.(미 적용된 윈도우 보안업데이트)

이에 에스지어드밴텍 측은 “감염된 시스템에서 사용한 이동식 디스크를 통하여 새로운 시스템에 전파될 수 있다”고 덧붙였다.

■ 증상

▲ 네트워크 장애 (ARP Spoofing)

▲ 웹 브라우저의 팝업 창 발생

▲ 레지스트리 편집기등 보안 프로그램의 시작 불가

▲ 일부 보안 사이트 접속 불가 (Hosts 파일 편집)

▲ 시스템 운영 장애 (다수의 악성코드 다운로드 및 실행)

■ 원인

해킹된 사이트는 방문지원 시에 사용자가 접근한 사이트 추적하였으나 정확한 주소가 확인되지 않고 있으며, ARP Spoofing에 의한 네트워크 장애로 판단된다.

이에 뉴테크웨이브 측은 “바이러스 다운로드 주소는 한국정보보호진흥원(KISA)에 업무 협조를 요청해 현재 해당 주소가 차단된 상태다”고 덧붙였다.

■ 바이러스 특징

▲ Rootkit

- 바이러스 자신의 동작을 은폐하기 위하여 사용하는 기법

- 루트킷 드라이버에 의한 파일의 숨김 및 보호

▲ MS08-67 윈도우 보안 업데이트(Server Service에 존재하는 원격코드실행 취약점)

- 윈도우의 보안 취약점에 의한 악성코드 유입 시 실행 된 것으로 확인됨.

- 윈도우 보안 패치 업데이트 수행 권장

▲ 대량 바이러스 유입ㆍ시스템 리소스 점유율 증가로 인한 시스템 장애 발생

■ 수동 조치

아래 서비스의 구성요소 파일은 바이러스로 대체되므로 삭제 조치 필요하다.

▲ wiaservc.dll : 이미지 인식서비스

▲ w32time.dll : 시간 날짜 동기화 서비스

▲ srsvc.dll : 시스템 복원 서비스

▲ appmgmts.dll : 소프트웨어 설치 서비스

▲ schedsvc.dll : 자동화 작업 및 예약 서비스

한편 에스지어드밴텍 측은 이와 관련 “기업 관리자는 윈도우 보안패치(MS08-067)를 설치하고, 사용 백신프로그램의 업데이트 확인할 것”과 “Autorun.inf 를 통하여 감염된 드라이브 루트의 system.dll 실행하므로 이동식 저장장치에 대한 보안 강화 해당파일 존재 확인 및 삭제 조치 필요”하다고 권고했다.

[김정완 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)