최근 사용자가 많은 무료 동영상 재생 프로그램을 이용한 악성코드가 발견됐다. 이용자가 많은 프로그램이나 광고 프로그램의 업데이트 기능을 이용한 악성코드 유포 사례가 증가하고 있는 만큼 사용자들의 각별한 주의가 요구된다.
[그림 1]은 외부 해킹 공격에 따른 동영상 프로그램의 긴급 공지 내용을 나타낸 화면이다.
분석 당시 악성코드 유포 경로를 정확히 확인할 수 없었지만 외부에 공개된 내용을 참고하면, KMPlayer 3.7.0.87 버전 업데이트 알림이 사용자에게 나타나고 업데이트 기능을 이용해 악성코드가 유포된 것으로 추정된다. 현재 KMPlayer 홈페이지에서 배포하고 있는 최신 버전은 3.6.0.87 버전이다.
[링크참고]
http://www.icst.org.tw/NewsRSSDetail.aspx?seq=14548&RSSType=news&lang=zh
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018
해당 악성코드는 ‘KMPlayer 3.7.0.87.exe’를 파일명으로 사용하고, SFX 압축파일 형태로 제작됐다.
이번에 발견된 악성코드는 디지털 서명을 이용해 백신 탐지를 우회하도록 정교하게 제작돼 있었다.
사용자의 컴퓨터 시스템이 윈도우 XP 운영체제일 경우 All Users 폴더에 [그림 3]과 같은 파일이 생성된다. 사용자의 컴퓨터 시스템이 윈도우 7일 경우에는 ProgramData 폴더에 [그림 4]와 동일한 악성코드가 생성된다.
해당 악성코드는 PlugX 악성코드로 사용자의 키보드 입력정보를 NvSmart.hlp 파일에 저장해 탈취한다. 악성코드는 특정 서버로의 접속을 시도하며, 키로깅 정보 및 시스템 정보 등을 전송할 것으로 추정된다.
해당 악성코드는 V3 제품군에서 진단 및 치료가 가능하다. <Ahn>
*기사 원문은 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=21480&key=&dir_group_dist=0&dir_code=
에서 확인하실 수 있습니다.
'AhnLab News' 카테고리의 다른 글
2013.09.09 안랩, “하반기 스미싱 악성코드 급증” (0) | 2020.04.17 |
---|---|
2013.09.06 안랩 김홍선 대표 단행본 출간 (0) | 2020.04.17 |
2013.08.29 안랩, 제 1회 UCC 콘테스트 ‘생활 속 알기 쉬운 보안’ 성황리에 마감 (0) | 2020.04.17 |
2013.08.29 안랩, 아제르바이잔 전자정부 보안 연수단 방문 (0) | 2020.04.16 |
2013.08.29 안랩 V3 모바일, AV-Comparative 테스트에서 진단율 1위 기록 (0) | 2020.04.16 |