본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

사용자 ID/패스워드를 일본으로 유출시키는 악성코드 주의

보안공지 2010-04-06

안녕하십니까? 이스트소프트 알약 보안대응팀입니다.
최근 개인정보와 관련된 보안 사고가 연이어 발생하고 있는 가운데 인터넷 사이트의 로그인 정보(ID/패스워드)를 일본으로 유출시키는 악성코드가 유행하고 있어 PC 사용자들의 주의가 필요합니다.


이번에 로그인 정보(ID/패스워드)를 일본으로 유출시킨 악성코드는 PC 사용자가 키보드로 입력한 ID/패스워드를 system.ini 파일에 암호화시켜 저장한 후 일본으로 전송합니다. 또한, 일본으로 전송 한 후 system.ini 파일을 악성코드가 스스로 삭제해 자신의 ID/패스워드 유출 여부를 판단하기 매우 어렵습니다.


암호화 처리 후 일본으로 유출되는 로그인 정보(system.ini) 파일

<암호화 처리 후 일본으로 유출되는 로그인 정보(system.ini) 파일>


유출되는 서버의 국가별 IP추적 결과

<유출되는 서버의 국가별 IP추적 결과>


 

현재까지 파악된 감염 경로는 인터넷 카페나 블로그의 첨부파일로 악성 ActiveX 파일을 올려놓은 후 카페나 블로그를 정상적으로 사용하기 위한 필수 ActiveX 설치 파일이라고 PC 사용자를 현혹시켜 설치하게 만듭니다. 특히 PC 사용자가 악성 ActiveX 파일을 설치하게 될 때 나타나는 보안경고 정보가 위조된 국내 포털의 인증서로 나타나 이를 믿고 설치할 가능성이 높습니다.


가짜 ActiveX 설치화면과 다음에서 정식으로 설치하는 배경음악 ActiveX 파일

<가짜 ActiveX 설치화면(좌측)과 다음에서 정식으로 설치하는 배경음악 ActiveX 파일(우측)>


 

알약에서는 이들 악성코드(진단명: K.KLG.ActiveSystem.65912, V.DRP.Agent.102400 등)에 대한 진단 및 치료 기능을 제공하고 있으며, 최신 버전의 알약 실시간 감시를 사용해 키로거(Keylogger) 악성코드 감염을 미리 예방할 수 있습니다. 계속적으로 추가되는 해당 악성코드의 변종을 발견하는 대로 긴급 업데이트를 실시하고 있으니, 항상 알약 DB를 최신버전으로 유지해주시고 실시간 감시 기능을 활성화 시켜두셔야 합니다.


 

[제거방법]


현재 알약에서는 해당 악성코드 파일들을 K.KLG.ActiveSystem.65912, V.DRP.Agent.102400, V.DWN.Agent.DLH, V.TRJ.Spammer.ST로 진단하고 있으며, 제거가 가능합니다. 이미 감염된 PC에서는 반드시 알약을 설치하여 최신 DB로 업데이트 한 후 수동으로 검사를 실시해야합니다.


[예방방법]


1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.