본문 바로가기
AhnLab 보안in

동영상 보기 위해 다운로드한 코덱에 악성코드 즐롭(Win-Spyware/Zlob) 주의

by 보안세상 2020. 4. 4.

2008.03.19

 

ASEC리포트 2월호에 따르면, 2006년 6월 국내에서 처음 신고된 스파이웨어 즐롭(Win-Spyware/Zlob)은 1년 6개월이 지난 지금도 계속해서 국내 감염이 신고되고 있다고 합니다. 즐롭은 정상적인 코덱 을 가장해서 사용자의 PC에 설치되어 사용자의 데이터를 외부로 유출시키거나 허위백신을 설치하고 광고를 노출시키는 스파이웨어입니다.

즐롭의 감염경로

 

배포자는 먼저 정상적으로 보이는 몇 개의 배포사이트를 준비한 후 무작위로 메일을 발송하거나, 로봇을 이용해 여러 게시판에 배포사이트로 유인하는 내용의 글을 등록합니다. 위 그림의 우측경로에서는 검색엔진을 통해 배포 사이트로 접근하는 경우로 코덱이 필요한 PC사용자가 웹에서 관련 검색을 하는 경우 로봇에 의해 많은 웹사이트에 등록된 허위 배포사이트로 유인하는 배포물이 손쉽게 검색됩니다. 검색된 국내외의 사이트를 통해 코덱 배포 사이트로 유인된 사용자는 동영상 재생에 필요한 프로그램을 설치하기 위해 해당 사이트에서 배포하는 프로그램을 설치하면 감염됩니다.

위 그림의 좌측경로는 E-mail을 통해서 배포가 되는 과정으로 PC사용자를 유행하는 동영상 유포등의 내용이 담긴 메일을 읽은 후 첨부된 사이트로 접속해 동영상을 보기 위해 코덱을 설치하면 감염이 이루어 집니다.

 

일반적으로 Zlob에 감염되면 시작페이지가 변경되고, 툴바가 설치됩니다. 또한 계속해서 사용자의 PC가 바이러스에 감염되었음을 알리며 허위 백신 프로그램의 설치를 유도합니다.  이러한 허위 백신 프로그램을 설치하게 되면 허위 진단 결과를 표시하며 치료를 위해 결재를 요구하는데 이 때 결재를 하게 되면 PC사용자의 신용카드 번호가 유출될 수 있으니, 주의하시기 바랍니다.

인터넷의 발전과 함께 국내 또는 해외에서 인기 있는 영화나 드라마 같은 동영상 컨텐츠들의 이용이 활발해 지고 있습니다. 동영상 컨텐츠는 다양한 코덱을 이용하여 압축되어 있으며, 재생하기 위해서는 적절한 코덱이 필요합니다.  최근의 많은 동영상 재생 프로그램들이 자동으로 필요한 코덱을 검색하고 사용자의 PC에 설치하는 기능이 있지만 지속적으로 국내에서 감염이 신고되는 것으로 미루어 코덱을 가장한 즐롭의 배포방법은 여전히 효과가 있는 것으로 판단됩니다.

출처 : ASEC리포트 2008년 2월호