2008.04.11
최근 발견되는 악성코드들은 백신의 기술을 무력화시키거나, 자신을 은폐하며 지능화되고 있습니다. V3와 빛자루에 추가된 Win-Spyware/PWS.OnlineGame.100462 스파이웨어에 대해 알아보겠습니다.
##
루트킷은 자신 또는 관련된 모듈을 은폐하기 위해 시스템의 중요 함수를 후킹하는 등의 비교적 난이도가 높은 기법들을 사용해 왔고, 이런 루트킷을 진단/치료 하기 위해 필요한 기술 또한 이번에 소개할 스파이웨어에 비하면 난이도가 높은 편이였다. 그러나 이번에 추가된 Win-Spyware/PWS.OnlineGame.100462는 자신과 자신을 보호하기 위해 필요한 Win-Spyware/PWS.OnlineGame.72192를 %SYSTEM% 폴더에 숨김 파일로 드롭한 후, 윈도우 레지스트리의 특정 값을 변경하여 감염된 시스템 설정을 변경함으로써 관련된 파일들이 은폐 될 수 있도록 동작하였다.
아래와 같은 레지스트리 키를 이용하여 "숨김 파일 및 폴더를 표시 안 함"으로 사용하는 경우는 있었지만, Win-Spyware/PWS.OnlineGame.72192는 정상 프로세스에 인젝션되어 해당 레지스트리 키를 주기적으로 변경하는 작업을 수행함으로써 일반 사용자들이 윈도우 탐색기에의 폴더 옵션에서 변경하여도 반영되지 못하도록 방해하는 것이 이전과 다른 점이다.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=0x00000002
또 하나 특이한 점은 위에서 언급한 레지스트리 경로의 값을 변경하는 것뿐만 아니라, 아래와 같은 레지스트리 경로의 값을 변경함으로써 일반 유저가 [그림 1] 화면에서 숨김 파일 및 폴더를 표시하도록 설정할 경우에도 반영되지 않도록 하는 기능을 수행하였다
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=0x00000000
[그림1] 윈도우 탐색기 폴더 옵션
이는 특별히 시스템이나 프로그램에 대해 깊이 있는 지식을 요구하지 않는다는 점에서 쉽게 악용될 소지가 있어 주의 깊게 살펴보아야 한다. 참고로 "보호된 운영 체제 파일 숨기기" 기능을 사용하여 보호된 운영 체제 파일을 볼 수 있도록 하기 위한 레지스트리는 다음과 같다.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden]
"DefaultValue"=dword:0000000
출처 : ASEC리포트 3월호
'AhnLab 보안in' 카테고리의 다른 글
| HP USB 사용자 악성코드 주의 (0) | 2020.04.04 |
|---|---|
| 스파이웨어 감염의 복고 바람... 크랙 및 불법 SW 다운 주의 (0) | 2020.04.04 |
| 컴퓨터 바이러스를 이미지로 그리면? (0) | 2020.04.04 |
| 인터넷 뱅킹의 보안 위협과 대책(2)_인터넷 뱅킹 보안 프로그램을 파헤친다 (0) | 2020.04.04 |
| 만우절 이용한 영문 이메일 웜 주의 (0) | 2020.04.04 |
