구글 뉴스그룹을 이용한 악성코드 조정

2008년 9월 11일 시만텍(Symantec)에서 유명한 검색 엔진인 구글(Google)의 그룹(Group) 서비스를 이용하여 특정 명령을 수신하는 악성코드가 발견되었다는 보고가 있었다. 시만텍의 보고가 있은 후 외국 언론을 통해 해당 악성코드가 보도 되었으며 맥아피(McAfee)에서도 관련 정보를 공개하고 있다.

이러한 소셜 네트워크 서비스(Social Network Service)를 이용하여 악성코드를 조정한 형태는 2009년 8월 14일 트위터(Twitter)의 RSS 서비스를 이용한 사례가 있었다.

이 번에 발견된 Grups 트로이목마는 DLL 파일로 비주얼(Visual) C++ MFC(Microsoft Foundation Class library)로 제작되었으며 실행 압축은 되어 있지 않다. 그리고 Rundll32.exe 를 이용해 자신을 실행 하도록 되어 있다.

해당 악성코드는 중국에서 제작된 것으로 추정되는 특정 뉴스그룹(Newsgroup)에 접속하여 해당 그룹에서 게시한 RC4 스트림으로 암호화 한후 Base64로 인코딩 한 게시물을 읽어들여 공격자가 지정한 특정 명령을 수신하여 실행 하도록 되어 있다고 한다.

시만텍에서 해당 악성코드를 분석 할 당시에는 대만 지역 검색엔진 관련 명령들이 수신되었으며 2008년 말부터 해당 악성코드가 활동 한 것으로 분석하고 있었다.

구글의 그룹 서비스를 이용한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Grups.29184

악성코드 감염의 인한 피해를 예방하기 위해서는 아래와 같은 최소한의 보안 수칙을 숙지하고 지켜 나가야만 한다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.