[ASEC리포트]2008년 4월 악성코드 동향

2008.05.16

 

2008년 4월 악성코드로 인한 피해 Top 10에 랭크 된 악성코드로 인한 피해건수는 463건으로 4월 한 달 접수된 총 피해건수(5797건)의 8%에 해당한다. 이 수치는 4월 한 달 전체 악성코드 피해건수에서 차지하는 비중이 상대적으로 낮은데, 이는 4월 한 달 동안 접수된 악성코드들은 특정 악성코드가 광범위하게 전파되어 피해를 입히는 것이 아니라 여러 악성코드들이 고르게 분산되어 피해를 입힌 것으로 추정된다.

일반적으로 악성코드에 의한 피해는 광범위한 확산을 통하여 과다 트래픽 유발로 인한 네트워크 마비, 시스템리소스의 과다한 사용, 실행파일의 감염으로 인한 정상적인 프로그램의 실행불가 등 서비스거부를 목적으로 하였던 반면에 최근에는 드로퍼 등을 통한 또 다른 악성코드의 설치나 트로이목마를 통한 개인정보를 유출하는 온라인게임관련 악성코드들이 많이 발견되고 있다는 것을 간접적으로 확인할 수 있다.

[그림 1] 2008년 4월 악성코드 피해 Top 10

[그림 1]은 4월 한 달 악성코드 피해 Top 10의 분포도를 보여주고 있다. Win-Trojan/Agent.5084의 비율이 34%로 전체적으로 많이 차지하고 있고, 온라인게임관련 악성코드가 7개(top 10 피해 비율: 53.6%)를 차지할 정도로 온라인 게임 관련 악성코드의 광범위한 피해가 여전함을 알 수 있으며, 한동안 순위밖으로 밀려났던 Bagle이 10위에 랭크되었다는 사실을 눈여겨 볼만하다.


악성코드 피해 Top 10의 유형별 현황

[그림 2] 악성코드 피해 Top 10의 유형별 현황

[그림 2]는 4월 악성코드 피해 Top 10의 유형별 현황을 보여주고 있는데, 유형을 살펴보면 트로이목마와 드로퍼가 각각 87%와 13%로 전체를 차지하고 있다. 상위 Top10안에는 웜이나 유해가능 프로그램, 스크립트는 포함되어 있지 않고 있으며, 온라인 게임관련 악성코드들이 설치 시 자신 스스로를 전파시키는 기능이 없는 트로이목마 프로그램을 설치하거나 트로이목마 프로그램의 설치를 위한 드로퍼를 통해 전파되고 있다고 할 수 있다.

지난 호에서도 언급한 바와 같이 이러한 악성코드들은 누구나 손 쉽게 접속하여 이용하는 각종 게시판 및 홈페이지 등을 통해서도 설치될 수 있으니 PC사용시 OS의 보안취약점 패치 설치 및 백신의 최신버전 업데이트 후 사용, 실시간 감시 활성화 등은 꼭 지킬 것을 다시 한번 권하는 바이다.


월별 피해신고 건수

[그림 3] 2007,2008년 월별 피해신고 건수

[그림 3]은 월별 피해신고 건수를 나타내는 그래프로 4월은 3월의 5609건에 비해 소폭 증가한 5797건이 접수되었다. 설 연휴 등으로 인하여 중국으로부터의 악성코드 유입이 주춤하였을 것으로 추정되는 2월의 3254건을 제외하면 2007년 4/4분기부터 계속적으로 월 5천건 가량의 피해가 신고되고 있으며, 이러한 피해신고건수는 현 상태를 유지하거나 소폭 증가될 것으로 예상된다.

 

국내 신종(변형) 악성코드 발견 피해 통계

 

4월 한달 동안 접수된 신종 (변형) 악성코드의 건수 및 유형은 [표 1]과 같다.

 

	웜	트로이	드롭퍼	스크립트	파일	매크로	부트	부트/파일	유해가능	비윈도우	합계
02월	43	281	21	3	3	0	0	0	5	0	356
03월	29	675	48	6	9	1	0	0	46	0	814
04월	32	573	64	3	9	0	0	0	19	0	700

[표 1] 2008년 최근 3개월간 유형별 신종 (변형) 악성코드 발견 현황

 

 

이번 달 신종 및 변형 악성코드 발생율은 전월과 비교하여 약 14% 가량 감소하였다. 주로 감소한 악성코드 유형은 트로이목마 류이나, 온라인 게임 계정을 탈취하는 트로이목마 유형의 경우에는 오히려 지난달 보다 8% 가량 증가 하였다. 따라서 감소의 주 원인은 온라인 게임 계정 정보를 탈취하는 트로이목마의 유형을 제외한 Win-Trojan/PolyCrypt, Win-Trojan/Agent, Win-Trojan/Noupdate와 같은 트로이목마가 감소한 것으로 파악 되었다.

 

Win-Trojan/PolyCrypt는 여러 가지 실행압축 프로그램을 이용하여 다중 실행 압축된 형태 또는 특정 실행압축 프로그램을 이용하여 실행 압축된 악성코드들을 의미한다. 해당 실행압축을 풀어보면 대부분 Win-Trojan/Hupigon 등과 같이 잘 알려진 중국산 트로이목마가 나온다. 즉, 실행압축 프로그램을 이용하여 백신 제품의 진단을 회피하기 위한 목적의 성격이 강한 트로이목마들이다. 다음 [그림 1-8]은 올해 V3 엔진에 반영된 해당 악성코드의 수이다. 1월 이후 감소하는 추세인데, 이는 언더그라운드에서 제작된 일부 특정 실행압축 형태를 진단하도록 하는 기능을 V3 엔진에 추가 했기 때문으로 이후 해당 유형의 악성코드에 대한 엔진 포함 비율은 서서히 낮아지고 있다.

[그림 4] Win-Trojan/PolyCrypt에 대한 2008년 1월 ~ 4월 엔진반영 수

Win-Trojan/Agent는 일반적으로 알려진 Agent(백도어 또는 특정 공격명령을 받아 악의적인 증상을 수행하는 형태의 악성코드) 유형이 대부분이다. Win-Trojan/Noupdate는 특정 백신 제품의 웹 페이지가 인터넷 익스플로러에 의해서 오픈 되었을 때 이를 종료하는 증상을 갖는다.

이들 3가지 유형의 악성코드 유형이 전월과 비교하여 감소하였지만, 이러한 악성코드들이 특정 시기에 집중적으로 발견되었다가, 어느 시점에는 사라지는 경우가 다분하므로 이에 대한 명확한 감소 원인은 분석하기는 어렵다.

드롭퍼 유형은 전월 대비 소폭증가 하였으나 이것은 온라인 게임 계정을 탈취하는 트로이목마의 증가의 영향으로 본다.

이메일로 전파 되는 웜들로는, Win32/Bagle.worm은 지난달에도 언급을 한 것처럼 요즘들어 기승을 부리고 있으며, Win32/Zhelatin.worm은 만우절 내용을 가장하여 유포가 많이 되었다.

유해가능 프로그램들은 다양한 종류가 발견 되었는데 주로 애드웨어 & 스파이웨어에서 사용하는 은폐모듈, 포트 스캐너, 원격 관리 프로그램, 해킹 도구 및 키로거들이 주로 발견 되었다.

바이러스는 모두 9개가 접수 및 엔진에 반영 되었는데 이중 이슈가 되는 것은 다음과 같다.

 

- Win32/Ganda

- Win32/Kashu.B

- Win32/Otwycal (B 형 포함)

 

 

Win32/Ganda는 EPO (Entry-Point Obscuring) 바이러스이며 정상파일의 "ExitProcess" 호출하는 코드부분을 수정하여 자신의 코드로 분기한다. 감염된 파일은 감염기능 없으며 윈도우 폴더에 존재하는 바이러스 원본을 "CreateProcessA"하는 기능만 존재 한다.

Win32/Kashu.B 바이러스는 Win32/Sality 또는 Win32/Kashu로 알려진 바이러스의 변형이다. 원형과 큰 차이는 없고 엔진에서 바이러스를 진단하기 위한 디코딩 알고리즘과 디코딩 후 바이러스 코드에 대한 변화가 있어서 이를 변형이라 명명 하였다.

Win32/Otwycal 바이러스는 중국산 바이러스로 감염된 파일은 ".WYCao" 라는 섹션이 생기며 이 안에 Win-Trojan/Autorun.14680을 숨기고 있다. 감염되어 실행되면 윈도우 폴더에 "windows.ext"라는 파일로 Autorun.14680을 드랍한 후 WinExec로 실행시키는 형태이다.감염된 정상 파일에는 감염 코드가 존재하지 않고 windows.ext 파일 안에 파일 감염 코드가 존재하고, 이 파일이 감염 기능을 수행 한다. 이 바이러스에 대해서는 악성코드 동향 및 이슈에서 자세히 소개 하기로 한다.

다음은 트로이목마 및 드롭퍼의 전체 비중에서 상당한 비율을 차지 하는 온라인 게임의 사용자 계정을 탈취하는 트로이목마의 추세를 살펴보았다.

[그림 5] 온라인 게임 사용자 계정 탈취 트로이목마 현황

온라인 게임의 사용자 계정 정보를 탈취 하는 악성코드 유형은 전월 대비 8% 증가 비율을 보였다. 비록 소폭 증가한 형태이나 5월에는 그 수가 4월 보다 증가 할 것으로 보인다. 그러한 이유는 SQL 서버의 취약점을 공격하여 이러한 유형의 악성코드를 업로드 한 URL 을 취약한 SQL 서버내 htm 파일에 자동으로 IFRAME 태그를 삽입하는 공격 도구가 발견되었기 때문이다. 이를 악용하여 수만개의 웹 페이지가 공격을 받아 해킹된 것으로 보고 되었으며, 이러한 웹 페이지를 통하여 악성코드 제작자가 손쉽게 해당 트로이목마를 제작하여 배포 할 수 있기 때문에 5월에 해당 악성코드 수는 증가 할 것으로 추정 된다.

[출처] 안철수연구소 ASEC