본문 바로가기
AhnLab 보안in

[안철수연구소 ASEC리포트]미국 최초 흑인 대통령 관련 악성코드 및 시스템 파일을 바꿔치기 하는 악성코드

by 보안세상 2020. 4. 6.

2008.12.18

 

미국 최초의 흑인 대통령 관련 악성코드

미국 최초의 흑인 대통령이 당선되면서 이와 관련된 뉴스를 이용하는 악성코드가 반짝 강세를 보였다. 메일로 주로 전파된 악성코드는 주로 다음과 같은 메일 제목 또는 메일 본문을 가지고 있다.
 

 
해당 악성코드는 이메일 웜이 아니므로 자체 전파력은 가지고 있지 않았지만, 메일 내에 특정 호스트로 유도하는 링크가 삽입이 되어 있었고, 해당 링크에서는 플래시 플레이어 새로운 버전을 가장한 파일을 다운로드하도록 유도하였는데, 해당 파일이 악성코드였다. 해당 파일의 대표적인 악성코드 진단명은 다음과 같다.

-       Win-Trojan/Papras.31232.B
-       Win-Trojan/Raitex.60928
-       Win-Trojan/Agent.8192.BP

해당 악성코드들은 자신의 파일과 프로세스를 숨기면서 은밀하게 작동하면서 특정 응용 프로그램들의 사용자 정보를 가로채서 외부의 특정 호스트로 전송한다.

국제적인 뉴스나 문제들을 가지고 악성코드 전파에 이용되도록 하는 방법은 매우 고전적이다. 그러나 대부분의 사용자들의 호기심을 자극하는 이런 내용을 클릭하는 순간 악성코드로부터 자유롭지 못하게 된다.

시스템 파일을 바꿔치기 하는 악성코드

정상적인 윈도우 시스템 파일을 악성코드 자신으로 바꿔치기 하는 형태의 악성코드의 피해문의가 증가하고 있는 추세이다. 특히 이번 달에는 윈도우 정상 시스템 파일인 rpcss.dll 파일을 악성코드 자신으로 바꿔치기 하는 형태가 자주 보고되었다. V3에서는 해당 악성코드를 Win-Trojan/RpcssPatch.Gen으로 Generic하게 진단하고 있어 변형에 대한 대응력을 강화 하였다.

해당 악성코드에 감염되면, 해당 악성코드는 윈도우 파일 보호 기능을 잠시 무력화시키고 윈도우 시스템 폴더와 dllcache 폴더에 존재하는 rpcss.dll 파일을 삭제하고 원본은 spcss.dll 또는 srpcss.dll로 변경한다. 해당 RPC 관련 파일이 악성코드로 변경되면 일반적으로 파일 복사, 이동 및 클립보드 내 데이터 붙여넣기와 같은 작업을 수행하지 못하게 되므로 컴퓨터 사용에 불편이 초래 된다.

이러한 악성코드들이 사용하는 방법을 살펴보면 크게 다음과 같다.

  - 파일의 일부 또는 전부를 수정 또는 바꿔치기 하는 경우

  - 파일은 변조하지 않고 메모리에 로드된 모듈을 악성코드로 바꿔 치기 하는 경우

파일을 변경하는 경우 쉽게 진단이 가능하지만 메모리에 로드된 모듈을 바꿔치기 하는 경우에는 일반 사용자들은 물론 파워유저라도 감염 여부를 쉽게 확인하기 어렵다. 따라서 이와 같이 시스템 파일을 변경하는 증상을 갖는 악성코드에 대한 주의가 필요하다.

출처 : 안철수연구소 ASEC리포트 11월호