국내 유명 웹 하드를 통해 유포된 악성코드

2012.10.18

 

최근 국내 유명 웹 하드를 통해 악성코드가 유포된 것이 확인됐다. 이 악성코드는 한글 문서 취약점을 악용해 감염된 PC의 시스템 및 키로깅 정보를 유출한다.

 

취약점이 있는 한글 문서는 '한반도통일대토론회-120928.hwp' 파일로, '북한의 개방 가능성 진단과 남북경색 해법 모색', '차기 정부에 바라는 대북 정책 제언' 등의 주제로 전 정부기관 차관 및 대학 교수 등으로 구성된 토론회 일정 내용이 담겨 있다.

 

[그림 1] 한반도통일대토론회

 

 

 

이 한글 문서를 실행하면 여러 파일들이 생성되고, 윈도우 방화벽을 우회하고 시스템 부팅 시 자동으로 실행되도록 레지스트리에 서비스로 등록한다.
 

 

생성된 파일은 자기 자신을 복제한 후, 감염된 시스템의 IP 주소ㆍ호스트이름ㆍ사용자 계정 이름 및 키로깅 정보와 감염된 시간 정보를 저장한다.

 

 

이후 해킹된 것으로 보이는 국내 유명 웹 하드의 계정을 이용하여 암호화된 각종 정보를 업로드한다.

 

 

[그림 2] 웹 하드의 업로드 폴더 화면

 

 

해당 악성코드는 V3 제품군에서 아래와 같이 진단 및 치료 가능하다.Ahn
 

 

[V3 제품군의 진단명]

Trojan/Win32.Dllbot (2012.10.09.00)
Trojan/Win32.Npkon (2012.10.09.00)
HWP/Exploit (2012.10.09.00)