본문 바로가기
AhnLab 보안in

[ASEC리포트]티벳 독립 시위 가장한 악성코드 출현

by 보안세상 2020. 4. 4.

2008.05.14

 

티벳 독립시위 관련하여 이를 지지하거나 또한 중국의 무력진압에 반대하는 등의 내용을 다룬 악성코드가 종종 출현하고 있습니다. 대표적으로 Win-Trojan/PcClient 변형 중 하나인, RaceForTibet.exe이라는 실행파일명을 가지고 있는 이 트로이목마는 은폐기능까지 포함하고 있는 백도어로서 트로이목마를 실행하면 아래와 같이 플래시 동영상이 나타납니다.

 

Win-Trojan/PcClient.1880064 실행 후 이미지

 

플래시 내용은 중국선수가 멋진 경기를 선보였지만 심판은 전원 0 점 처리를 하며, 이후 놀란 중국 지도자의 모습이 나타나고, 티벳의 독립을 호소하는 영상이 출력 됩니다. 마치 정치적인 모습을 담은 한편의 플래시 애니메이션으로 착각에 빠져 들게 하지만 실제로는 악성코드가 설치되고 있습니다.  해당 악성코드는 인터넷 익스플로러를 은폐하여 실행하며 설치된 다음 파일은 은폐증상과 키로거 및 백도어 증상을 갖는 특성이 있습니다.

 

앞으로도 중국의 올림픽 행사 또는 티벳 관련 소식 등의 국제적인 이슈가 불거질 때마다 이러한 내용을 가장한 악성코드의 발생이 예상됩니다. 이러한 종류의 악성코드는 보통 메일로 보통 유포되므로 의심스러운 메일에 포함된 링크를 클릭하거나, 첨부된 실행파일 실행 또는 문서파일을 오픈하지 않는 것이 안전합니다.

출처 : 안철수연구소 ASEC리포트 4월호