본문 바로가기
악성코드 정보

누군가 나를 지켜보고 있다면? 웹캠으로 도촬하는 악성코드 발견!

by 알 수 없는 사용자 2012. 2. 29.

자신도 모르는 사이에 누군가 나를 지켜보고 있다면? 생각만해도 소름 끼치는 일이다. 노트북에 달려있는 카메라나 PC에 연결된 웹캠을 이용하여 감염된 PC의 사용자를 도촬하는 악성코드가 발견되었다. PC에 저장된 사용자 정보를 빼내거나, 시스템의 동작을 방해하는 다른 악성코드와는 달리 감염된 PC 사용자의 사생활을 그대로 노출시키는 악성코드이기 때문에 개인의 프라이버시에 커다란 위협이 되는 악성코드이다.

 

해당 악성코드에 감염될 경우 러시아 URL로 접속하는 특성을 가진 것으로 보아 러시아에서 제작된 것으로 보인다. 국내에서는 감염된 사례가 발견되지 않아 정확한 감염 경로를 파악하기는 어렵지만, 위치에 관계없이 어디든지 접속 가능한 인터넷의 특성상 해외사이트를 주로 이용하는 사용자의 경우 각별한 주의가 요구된다.

 

해당 악성코드에 감염될 경우 다음과 같은 파일을 생성한다.

C:\Documents and Settings\Administrator\Local Settings\Temp\

Run***_*****64.dll,  run***_.exe,  run***_.log,  run***_dll.sid,  run***_.bat

 

run***_*****64.dll 파일을 열어보면 그림 1과 같이 시작프로그램에 등록하기 위한 레지스트리에 등록하기 위한 명령어를 포함하고 있다. 확장명은 dll이지만 실제로는 텍스트 파일이다. 이 명령을 통해 시작프로그램에 등록되어 사용자가 PC를 켤 때마다 악성코드가 동작하게 된다.

 

그림 1 시작프로그램에 등록하는 기능을 수행하는 run***_*****64.dll


run***_.bat 파일은 최초 실행된 악성코드를 C:\Documents and Settings\Administrator\Local Settings\Temp\ 경로로 복사하는 기능을 수행한다. 파일에 저장된 내용은 그림 2와 같다.

그림 2 특정 경로로 악성코드 파일을 복사하는 run***_.bat


run***_dll.sid 파일은 감염된 PC를 식별하기 위해 그림 3과 같이 무작위로 생성된 문자열을 저장한다.

그림 3 감염 PC를 식별하기 위한 식별자를 저장하는 run***_dll.sid


run***_.log 파일은 악성코드 동작 과정을 그림 4와 같이 log 파일에 기록한다.

그림 4 악성코드의 동작 과정을 기록하는 run***_.log


로그 파일을 확인해 보면 동작과정은 다음과 같다.

1) 악성코드 파일을 C:\Documents and Settings\Administrator\Temp\ 경로에 복사

2) 감염된 PC의 식별자 정보 생성 후 파일로 저장

3) 촬영한 사진을 전송할 서버 설정 후 카메라로 촬영한 BMP 파일을 저장

4) 타이머 설정 (59000ms = 1)

5) 사용자 PC OS버전, 사용자 정보, PC이름, SID 정보 등을 지정된 서버로 전송

6) 서버에서 전송 될 다음 명령 수신 대기

위의 서버의 URL ru로 끝나는 것을 알 수 있다. ru는 러시아를 나타내는 도메인이다.

 

그리고 레지스트리 영역을 확인해보면 그림 5와 같이 악성코드 파일이 시작프로그램에 등록되어있는 것을 확인할 수 있다.

 

그림 5 레지스트리 시작프로그램 영역에 등록된 악성코드


네트워크 연결정보를 확인해보면 그림 6과 같이 악성코드 서버로 연결되는 것을 확인할 수 있다. 위의 로그파일에 기록된 것과 같이 1분 간격으로 정보를 전송한다.

그림 6 악성코드가 수집한 정보를 전송하는 과정


위와 같은 악성코드들은 V3 제품군에서 다음과 같이 진단하고 있다.

 

Win-Trojan/Backdoor.762880 (2012.02.21.00)

 

온라인게임핵과 같이 사용자 계정정보를 탈취하거나 가짜 온라인 뱅킹 사이트를 만들어 계좌정보를 탈취하는 피싱을 넘어서서, 개인의 민감한 사생활까지 엿보려고 하는 트로이목마까지 등장하는 등 악성코드의 진화는 계속 되고 있다. 이러한 악성코드는 개인의 프라이버시를 심각하게 침범할 수 있는 악성코드로 사용자들의 각별한 주의가 요구된다. 이러한 악성코드의 감염을 예방하기 위해서는 다음과 같은 조치를 취해야 한다.

1. 보안 프로그램은 최신버전의 엔진을 사용한다.

 

2. 윈도우 XP의 경우 SP 버전 등을 확인하여 최신버전을 설치하여 사용하고, 미설치된 보안업데이트가 있을 경우 모두 설치한다.

3. IE 8.0 이상의 브라우저를 사용하거나 타사 브라우저를 사용한다.

http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

위 링크 이동 후, 서비스팩 및 IE 업데이트 설치 진행

 

4. 정기적으로 정밀검사를 수행하여 PC에 악성코드가 존재하는지 검사한다.

 

5. 노트북의 웹캠인 경우 사용하지 않을 때에는 시스템 설정 메뉴를 이용하여 사용을 중지한다.

 

6. PC에 연결된 웹캠의 경우 사용하지 않을 때에는 PC에서 분리하여 보관한다.

 

댓글