본문 바로가기
악성코드 정보

구글 뉴스그룹을 이용한 악성코드 조정

by 비회원 2011. 10. 24.

2008년 9월 11일 시만텍(Symantec)에서 유명한 검색 엔진인 구글(Google)의 그룹(Group) 서비스를 이용하여 특정 명령을 수신하는 악성코드가 발견되었다는 보고가 있었다. 시만텍의 보고가 있은 후 외국 언론을 통해 해당 악성코드가 보도 되었으며 맥아피(McAfee)에서도 관련 정보를 공개하고 있다.


이러한 소셜 네트워크 서비스(Social Network Service)를 이용하여 악성코드를 조정한 형태는
2009년 8월 14일 트위터(Twitter)의 RSS 서비스를 이용한 사례가 있었다.

이 번에 발견된 Grups 트로이목마는 DLL 파일로 비주얼(Visual) C++ MFC(Microsoft Foundation Class library)로 제작되었으며 실행 압축은 되어 있지 않다. 그리고 Rundll32.exe 를 이용해 자신을 실행 하도록 되어 있다.

해당 악성코드는 중국에서 제작된 것으로 추정되는 특정 뉴스그룹(Newsgroup)에 접속하여 해당 그룹에서 게시한 RC4 스트림으로 암호화 한후 Base64로 인코딩 한 게시물을 읽어들여 공격자가 지정한 특정 명령을 수신하여 실행 하도록 되어 있다고 한다.

시만텍에서 해당 악성코드를 분석 할 당시에는 대만 지역 검색엔진 관련 명령들이 수신되었으며 2008년 말부터 해당 악성코드가 활동 한 것으로 분석하고 있었다.

구글의 그룹 서비스를 이용한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Grups.29184

악성코드 감염의 인한 피해를 예방하기 위해서는 아래와 같은 최소한의 보안 수칙을 숙지하고 지켜 나가야만 한다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글0