1³â ÀÌ»ó Çѱ¹ ³» ´ëºÏ´Üü ³ë¸° Á¤±³ÇÏ°í Àº¹ÐÇÑ Ä§Åõ ÁøÇà
[º¸¾È´º½º ±èÅÂÇü] ±Û·Î¹ú Á¤º¸º¸¾È Àü¹®±â¾÷ÀÎ À×Ä«ÀÎÅͳÝ(´ëÇ¥ ÁÖ¿µÈì, www.nprotect.com) ´ëÀÀÆÀÀº 2013³â 9¿ù 13ÀÏ ´ëºÏ¾ð·Ð¸ÅüÀÎ µ¥Àϸ®NK ´º½º ¡®ÝÁÇØÄ¿ Á»ºñ PC ¾Ç¼ºÄÚµå ÓßÝÁ ´Üü¿¡ ´ë·®À¯Æ÷¡¯¶ó´Â Á¦ÇÏÀÇ ±â»ç¿¡ ¼Ò°³µÈ ¾Ç¼ºÆÄÀÏÀ» ºÐ¼®ÇØ º» °á°ú ¾à 1³â Àü 2012³â 6¿ù°æ ´ëÀÀÆÀÀÌ °ø°³ÇÑ ¡®Å»ºÏÀÎ ÀÎÀû »çÇ×À¸·Î À¯È¤ÇÏ´Â HWP ¾Ç¼ºÆÄÀÏ µîÀ塯¿¡ ¾²ÀÎ ¾Ç¼ºÆÄÀÏ°ú µ¿ÀÏÇÑ Á¦ÀÛÀÚ³ª Á¶Á÷ÀÌ ¸¸µç Á¤È²±Ù°Å°¡ È®ÀÎµÆ´Ù°í ¹ßÇ¥Çß´Ù.
¸¶Ä¡ ¼¼Á¾¿¬±¸¼Ò ¼ö¼®¿¬±¸¿øÀÌ ÀÛ¼ºÇÑ °ÍÀ¸·Î À§ÀåÇÑ HWP ¾Ç¼ºÆÄÀÏÀº ´ëºÏ´Üü »ç¶÷µé¿¡°Ô À̸ÞÀÏ·Î ÀüÆĵǾúÀ¸¸ç, ½ÇÇàµÇ¸é ½ÇÁ¦ ºÏÇÑ°ú °ü·ÃµÈ Á¤»óÀûÀÎ ¹®¼ÆÄÀÏÀ» º¸¿©ÁÖÁö¸¸ ½ÇÁ¦·Î´Â º¸¾ÈÃë¾àÁ¡À» ÀÌ¿ëÇØ ÀÌ¿ëÀÚ ÄÄÇ»ÅÍ¿¡ »õ·Î¿î ¾Ç¼ºÆÄÀÏÀ» Àº¹ÐÇÏ°Ô ¼³Ä¡Çϵµ·Ï ¸¸µé¾îÁ® ÀÖ´Ù.
ÀÌ ¾Ç¼ºÆÄÀÏ¿¡ °¨¿°µÇ¸é È«ÄáÀÇ Æ¯Á¤ È£½ºÆ®·Î Á¢¼ÓÀ» ½ÃµµÇÏ¿© °ø°ÝÀÚÀÇ Ãß°¡¸í·ÉÀ» ¼öÇàÇÏ´Â À̸¥¹Ù ¡®Á»ºñ PC¡¯·Î ¸¸µé ¼ö ÀÖÀ¸¸ç, ¿¹±âÄ¡ ¸øÇÑ °¢Á¾ Á¤º¸À¯Ãâ µîÀÇ ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖ´Ù. ÇöÀç´Â Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA) µî À¯°ü±â°ü°ú ±ä¹ÐÇÏ°í ½Å¼ÓÇÑ ´ëÀÀÀ¸·Î ¸í·ÉÁ¦¾î(C&C)¼¹öÀÇ Á¢¼ÓÀÌ Â÷´Ü Á¶Ä¡µÈ »óÅÂÀÌ´Ù.
ÇØ´ç ¾Ç¼ºÆÄÀÏ ³»ºÎ¿¡ Æ÷ÇÔµÈ ¾ÇÀÇÀûÀÎ ÄÚµå´Â º¸¾ÈÁ¦Ç° ŽÁö ¿ìȸ ¹× ÄÚµå ºÐ¼®À» ¹æÇØÇϱâ À§Çؼ ¾ÏÈ£ÈµÈ ÇüÅ·Π¼û°ÜÁ® ÀÖÀ¸¸ç, HWPÆÄÀÏÀÇ º¸¾È Ãë¾àÁ¡ ÀÛµ¿ ½Ã À©µµ¿ìÀÇ ÀÓ½ÃÆú´õ(Temp) °æ·Î¿¡ ¡®$EM0001.jpg¡¯ À̸§À¸·Î ¾ÏÈ£ÈµÈ ¾Ç¼ºÆÄÀÏÀÌ »ý¼ºµÇ°í Shellcode ¸í·É µî¿¡ ÀÇÇؼ ¾ÏÈ£È(XOR 0x69)µÈ Äڵ尡 º¹È£ÈµÇ°í ¡®svohost.exe¡¯ ÆÄÀϸíÀÇ ¾Ç¼ºÆÄÀÏÀÌ »ý¼ºµÇ°í ½ÇÇàµÈ´Ù.
°ÑÀ¸·Î º¸±â¿¡´Â »ý¼ºµÈ ÆÄÀÏÀÌ ¸¶Ä¡ JPG À̹ÌÁö ÆÄÀÏó·³ º¸¿©ÁöÁö¸¸, ÄÚµå ³»ºÎÀûÀ¸·Î´Â ¾ÏÈ£ÈµÈ ¾Ç¼ºÆÄÀÏÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ÀÌ·¯ÇÑ ½ÉÃþ¾ÏÈ£ ¹æ½ÄÀº ÀÏÁ¾ÀÇ ½ºÅ×°¡³ë±×·¡ÇÇ(Steganography) ±â¹ýÀ̶ó ÇÒ ¼ö ÀÖ°í ¾Ç¼ºÆÄÀÏ Á¦ÀÛÀÚµéÀÌ ÄÚµå³ëÃâÀ» ÃÖ¼ÒÈÇϱâ À§ÇØ »ç¿ëÇÏ´Â ÀºÆó±â¼ú Áß¿¡ ÇϳªÀÌ´Ù.
¾Ç¼ºÆÄÀÏÀÌ Á¢¼ÓÀ» ½ÃµµÇÏ´Â ¸í·ÉÁ¦¾î ¼¹ö´Â È«Äá¼ÒÀçÀÇ È£½ºÆ®·Î, ¾à 1³â Àü¿¡ Å»ºÏÀÎ ÀÎÀû »çÇ×À¸·Î À§ÀåÇß´ø HWP ¾Ç¼ºÆÄÀÏÀÇ C&CÁÖ¼Ò¿Í 100% ÀÏÄ¡ÇÏ´Â °ÍÀ¸·Î ³ªÅ¸³µ°í Á¤»óÀûÀÎ ¡®rundll32.exe¡¯ ÇÁ·Î±×·¥À» ÅëÇؼ ¾Ç¼ºÆÄÀÏÀÎ ¡®GooglePlay.dll¡¯ ÆÄÀÏÀÌ µ¿ÀÛÇÏ´Â ±¸Á¶¸¦ °¡Áö°í ÀÖ´Ù.
¶ÇÇÑ, mscmos.sys ÆÄÀÏÀ» ÀÌ¿ëÇÏ´Â Á¡µµ 1³â Àü HWP ¾Ç¼ºÆÄÀÏ ¼ö¹ý°ú µ¿ÀÏÇÏ´Ù. ´õºÒ¾î ¾ÆÀÌÄÜ(MFC)°ú ÇÁ·Î±×·¡¹Ö ¾ð¾î(Áß±¹¾î) ¿ª½Ã 2012³â ¾Ç¼ºÆÄÀÏ°ú ÀÏÄ¡ÇÑ´Ù.
ÀÌ·± ´ëÇ¥ÀûÀÎ ¸î °¡Áö ´Ü¼¸¸À» ³õ°í º¸¾Æ¼µµ ±Ý¹ø HWP ¾Ç¼ºÆÄÀÏ Á¦ÀÛ À¯Æ÷Á¶Á÷ÀÌ 1³â ³Ñµµ·Ï ±¹³» ´ëºÏ´Üü µîÀ» ³ë¸®°í ±³¹¦ÇÏ°í Áö´ÉÀûÀÎ °ø°ÝÀ» ²ÙÁØÈ÷ ¹úÀÌ°í ÀÖ´Ù´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
À×Ä«ÀÎÅÍ³Ý ¹®Á¾Çö ´ëÀÀÆÀÀåÀº ¡°ÇѱÛ(HWP) ¹®¼ÆÄÀÏÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÏ´Â ºÒƯÁ¤ °ø°ÝÀÚ°¡ Çѱ¹ ³» ºÏÇÑ°ü·Ã ´Üü ¹× ƯÁ¤ ±â¾÷¡¤±â°üÀ» »ó´ë·Î Àº¹ÐÇÏ°í Áö¼ÓÀûÀΠħÅõÈ°µ¿À» 1³â ³Ñ°Ô ¼öÇàÇÏ°í ÀÖ´Ù´Â °ÍÀ» °ø½Ä È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù¡±¸é¼ ¡°HWP ¹®¼ÆÄÀÏÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¾Ç¼ºÆÄÀÏ °ø°ÝÀÌ ±¹³»¿¡¼ ²÷ÀÌÁö ¾Ê°í ¹ß»ýÇÏ°í ÀÖÀ¸´Ï, ÇÑÄÄ¿ÀÇǽº ÀÌ¿ëÀÚµéÀº Ç׽à ÃֽŠ¹öÀüÀ¸·Î Á¦Ç°À» ¾÷µ¥ÀÌÆ® ÇÏ¿© »ç¿ëÇØ¾ß ÇÑ´Ù¡±¶ó°í °Åµì °Á¶Çß´Ù.
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>