메신저를 통해 새로운 방식으로 전파되는 악성코드

최근 특정 메신저를 통해 전파되는 악성코드의 유포방식이 변경되었습니다. 기존에는 아래와 같이 대화창 혹은 쪽지를 이용해 URL을 클릭하도록 유도하여 클릭하게 되면 아래와 같은 특정 파일을 다운로드 하게 됩니다.

[그림 1] 기존 전파 방법

다운로드 된 파일은 아래와 같이 생겼으며 폴더 혹은 사진 파일로 착각하여 클릭을 유도하도록 하여 악성코드에 감염되는 형태였습니다.

[그림 2] 기존에 전파된 폴더 혹은 다른 아이콘으로 위장한 악성코드 형태

이러한 방식에 대해 많이 전파하고 알려 이제는 사용자들이 악성코드 임을 인지하여 실행을 하지 않아 악성코드로 부터 감염을 예방할 수 있었습니다. 하지만 이를 인지한 악성코드 제작자는 새로운 방식을 이용하여 악성코드를 유포하고 있습니다.

변경된 방법은 의심스러운 쪽지나 대화창을 통해 URL을 전파하는 방법은 동일하나 URL을 클릭하게 되면 파일이 다운로드 되는것이 아니라 취약점을 통해 악성코드가 자동으로 다운로드 및 실행이 되어 감염이 되게 됩니다.

[그림 3] 최근 유포된 악성코드를 배포한 URL 접속 시 나타나는 화면

쪽지 혹은 대화창을 통해 받은 URL에 접속을 하게 되면 위와 같은 사진만 나타나게 됩니다. 하지만 내부적으로는 아래와 같이 악성 스크립트로 연결되어 CVE-2010-0806, MS10-018 취약점을 이용하여 악성코드에 감염되게 됩니다.

[그림 4] 악성코드를 유포하는 URL 소스 일부 내용

따라서 늘 강조하는 부분이지만 윈도우 보안 업데이트 최신으로 유지 하였다면 해당 사이트에 접속하더라도 악성코드에 감염이 되지 않으며, 현재 해당 악성코드는 V3 제품군에서 아래와 같은 진단명으로 진단이 가능합니다.

Dropper/Infostealer.77377

마지막으로 이러한 악성코드로 부터 예방하는 방법은 아래와 같습니다.

1) 지인으로 부터 받는 의심스러운 URL은 함부로 접속하지 않도록 합니다.
2) 윈도우 보안 업데이트를 항상 최신으로 유지하도록 합니다.
3) 백신을 설치하여 항상 실시간감시 기능을 켜놓으며, 엔진을 최신버전으로 유지하도록 합니다.