악성코드 제작자는 나의 습관을 알고 있다 - 사용자가 실행하는 악성코드(3)

공유 목적의 P2P, 코드도 공유/배포 된다.

법을 사용하는 악성코드는 대체로 Trojan 과 Backdoor, Spyware가 해당된다.

Trojan : 어원은 Troy 전쟁시 트로이인들이 전투에 사용한 목마에서 왔으며, 사용자의 시스템에 몰래 설치되어 악의적인 행위(다른 악성코드 설치, 개인정보 유출 등)를 한다.

Backdoor : 감염 된 시스템에 사용자가 모르는 통로(일반적으로 Network 연결)를 만들어 제작자가 직접(해킹에 해당) 접속하거나, 다른 프로그램이 접근할 수 있도록 한다.

Spyware : 스파이(spy)와 소프트웨어(software)의 합성어로 사용자의 동의 없이 컴퓨터에 몰래 설치되어 중요한 개인정보를 수집하는 프로그램들을 지칭하며, 설치된 프로그램들은 사용자의 시스템 사용을 방해하거나 불편을 야기시키기도 하며, 광고나 마케팅을 목적으로 사용되기도 합니다.

Emule, eDonkey, Pruna 등으로 대표되는 P2P 프로그램 사용시 악성코드 감염에 노출된다는 이야기는 사용자라면 한 두번씩은 들어봤을 것이다. 하지만 악성코드의 감염은 사용자의 실행 명령으로 시작된다는 사실을 주목할 필요가 있다.

Spyware.Bagle.Do.856064 으로 자사에서 현재 진단 중인 악성코드에 대해 살펴보면 이해에 도움이 될 듯 하다.
이 악성코드는 NTSB(미연방교통안전위원회) 블랙박스 분석용 프로그램으로 위장하고 있다. 말 그대로 위장하고 있을 뿐 실제 아무런 결과도 얻을 수 없다. 이 악성코드는 안전모드 부팅을 위한 레지스트리를 삭제하고, RootKit 탐지 툴을 무력화한다. 그 이유는 악성코드에 감염 된 시스템의 생존 기간을 늘리기 위해서이다.

[그림 4.] NTSB 프로그램 UI 로 위장

감염된 시스템은 나도 모르는 사이에 악성코드를 배포하는 P2P서버가 되어 있다. 그 구성파일은 수 백개에 달하며 악성코드 파일을 여러 다른 이름의 zip 파일로 묶어 다른 P2P사용자 검색에 걸리도록 한다. 물론 이 zip 파일 안에는 방금 실행한 Spyware.Bagle.Do.856064가 포함되어 있다.

[그림 5.] 악성코드가 배포하는 zip 파일 리스트 (빨간 상자 키워드 주목)

[그림 6.] 정상 시스템에서 zip 파일 키워드 중 하나로 검색 해본 결과 (다운로드 가능)

이미 진단이 되는 악성코드들은 Anti-Virus, Anti-Spyware 제품에 의해 방역이 가능할 것이다. 하지만 대체로 이런 류의 악성코드는 그 변종의 출현 주기가 매우 짧다.

P2P 프로그램 사용시 안전한 컴퓨팅 습관 기르기

1. 확인되지 않은 불법 프로그램의 다운로드 및 사용을 자제한다.
   
2. 다운로드 받은 프로그램의 실행 전 Anti-Virus 프로그램을 통해 진단해 본다.
   
3. 그래도 의심이 가는 경우엔 http://www.virustotal.com/ko/과 같은 멀티 엔진 진단 사이트를 통해 검사해보도록 한다.
   

자동차를 운전할 때에도 예측과 집중을 통해 방어운전을 해야 한다. Internet에 연결 된 PC의 컴퓨팅 시에도 이와 마찬가지라고 할 수 있다. 현존하는 어떤 Anti-Virus, Anti-Spyware 제품도 모든 악성코드를 예방 할 수는 없다. 자신의 PC가 신종/변종의 최초 감염자가 될 수도 있다는 생각을 가지고 PC 사용시에 나타나는 OS 및 시스템 메시지를 확인하도록 하자. 비록 Exploit과 같은 OS 자체의 취약점을 이용하는 악성행위엔 별 효과를 발휘할 순 없겠지만, 이런 작은 노력만으로도 우리의 무관심한 실행 습관을 정확히 파악하고 악성코드를 제작하는 나쁜 사람들의 노고(?)를 무효화할 수는 있다.

(주)하우리 기술연구소 스파이웨어팀 주임연구원 한정일