최근 해외 보안 업체와 일부 해외 언론을 통해 일반적으로 해당 기업에서 제작하여 배포하는 파일이며 신뢰할 수 있는 파일이라는 의미에서 사용하는 전자 서명(Digital Signature)을 위조하여 사용하는 악성코드들이 발견되었다.
이번과 같이 특정 기업의 전자 서명을 위조한 사례로는 2010년 7월 초 한국에서도 발견되었던 국내 특정 포털에서 배포하는 파일로 위장하기 위해 해당 기업의 전자 서명을 위조하여 배포한 사례가 있다.
그러나 이번에 발견된 악성코드에서 위조한 전자 서명은 과거의 일반 기업의 전자 서명을 위조한 사례와 달리 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서 배포한 신뢰할 수 있는 파일로 위장하였다는 점을 특이 사례로 볼 수 있다.
이번과 같이 특정 악성코드에서 위조한 캐스퍼스키의 전자 서명 모두가 유효기간이 종료된 형태들임으로 유효기간의 존재 여부로 악성코드 여부에 대해 참고를 할 수도 있다.
그러나 악성코드에서 이렇게 일반 기업의 전자 서명을 위조하여 사용하거나 실제 전자 서명에 사용되는 암호화키를 탈취하여 전자 서명에 사용하게 될 경우에는 문제가 될 가능성이 높다. 그리고 실제 2010년 7월 19일 윈도우 쉘(Shell) 취약점을 악용하였던 Stuxnet의 경우 루트킷(Rootkit) 드라이버 파일이 특정 기업의 암호화키를 사용하여 전자 서명이 되어 진 것으로 알려져 있다.
러시아 보안 업체인 캐스퍼스키의 전자 서명을 위조하여 사용한 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Zbot.117736
이러한 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| 아마존 쇼핑몰 주문 메일로 위장한 스팸 메일 (0) | 2011.10.27 |
|---|---|
| 허위 어도비 플래쉬 플레이어 업데이트로 위장한 악성코드 (0) | 2011.10.27 |
| 국산 프리웨어로 위장한 트위터 관련 악성코드 (0) | 2011.10.27 |
| 감염 사실을 확인하는 스파이웨어의 행위 (0) | 2011.10.27 |
| 웹 사이트를 악용한 SEO Sploit Kit 분석 (0) | 2011.10.27 |
댓글