일반적으로 서로 다른 윈도우(Windows) 운영체제와 리눅스(Linux) 운영체제에서 모두 감염되어 동작하는 악성코드를 제작하는 것은 기술적으로 많은 사항들을 고려해야 되는 문제임으로 쉽지 않은 사항이다. 특히나 모바일(Mobile) 운영체제와 일반 윈도우 PC 모두에 감염되어 동작하는 악성코드를 제작하기라는 것은 더욱 쉽지 않은 사항이다.

2012년 2월 3일 ASEC에서는  하루동안 전세계에서 수집되어 분석되었던 안드로이드(Android) 어플리케이션들을 확인하는 과정에서 특이하게 특정 어플리케이션 내부에 윈도우 악성코드가 포함되어 있는 것을 발견하였다.

이 번에 발견된 안드로이드 어플리케이션 아래와 같은 구조를 가지고 있으며, 아래 이미지의 붉은색 박스로 표기한 스크립트 파일인 about_habit.htm(123,196 바이트)를 내부에 포함하고 있다. 


해당 안드로이드 어플리케이션 내부에 포함된 about_habit.htm는 일반적인 HTML 파일이 아니며 실제로는 비주얼 베이직 스크립트(Visual Basic Script)로 다음과 같은 형태를 가지고 있다.

 
해당 비주얼 베이직 스크립트 파일은 svchost.exe(61,357 바이트) 파일명으로 윈도우 운영체제에서 감염되는 악성코드를 생성하고 실행하게 되었다.

그러나 해당  비주얼 베이직 스크립트 파일은 안드로이드 운영체제에서는 동작할 수 없는 형태이다. 그리고 해당 파일을 포함하고 있는 안드로이드  어플리케이션의 내부 코드에는 해당  스크립트를 외장 메모리에 쓰도록 제작된 코드는 존재하지 않는다.

이로 미루어 해당 안드로이드 어플리케이션 제작자의 실수 등으로 인해 해당 비주얼 베이직 스크립트 파일이 어플리케이션 제작시 포함되었을 것으로 추정 된다.

이 번 안드로이드 어플리케이션 내부에 포함된 윈도우 악성코드들은 V3 제품군에서는 다음과 같이 진단한다.

VBS/Agent
Win-Trojan/Krap.61357
저작자 표시
신고
Posted by 비회원

1. VBS(Visual Basic Script)와 VBS 이용 악성코드 작성 이유 

 요즘에는 전문서적뿐 아니라 인터넷의 정보를 이용하면 누구나 유해 가능한 악성코드를 손쉽게 만들 수 있습니다. 이러한 악성코드를 제작하는데 있어 많이 사용되는 것이 바로 VBS(Visual Basic Script)입니다. 그래서 빈번하게 퍼지고 있는 유해 악성프로그램(바이러스, , 백도어, 트로이목마 등)의 종류를 보면 VBS를 이용하여 제작된 것이 많습니다.

 VBS란 비주얼 베이직의 서브세트로써, 넷스케이프 커뮤니케이션즈사에서 개발한 자바 스크립트와 마찬가지로 MS사의 인터넷 익스플로러, IIS (Internet Information Server)에서 실행 가능한 스크립트 언어로 비주얼 베이직 문법에 기초를 두고 제작되어 HTML문서 안에 스크립트를 두고 동적으로 처리하는 언어이며 대화형 월드 와이드 웹(WWW) 홈 페이지를 작성하기 위하여 사용됩니다. 또 액티브 X 제어(Active X control)나 자바 애플릿(Java applet)을 조작할 수 있는 특징을 갖고 있습니다.

 따라서 일반적인 프로그램 제작 언어(어셈블러, C )에 비하여 프로그램 분석이나 제작이 쉬울 뿐 아니라 기존의 프로그램을 변형하는 것도 쉬워 변종 바이러스가 많이 나타나고 있는 문제점을 안고 있는 상황입니다. 일단 피해를 입으면 데이터의 복구가 어려워지는 특징이 있어, 한번에 많은 데이터 손실의 위험이 있습니다. 이와 같이 VBS를 이용한 악성코드가 나타나는 이유는 앞에서 설명한 제작의 간편함 뿐만 아니라 대부분의 컴퓨터 사용자가 설치하고 있는 OS Windows COM(Common Object Model)형식으로 제작되어 VBS와 같은 간단한 스크립트 만으로도 여러 가지 종류의 응용프로그램에 접근이 가능하다는 취약점이 있기 때문입니다.

 

2. VBS/Autorun 악성코드 감염 여부 확인방법

1) VBS 악성코드에 감염이 되면 아래 그림과 같이 wscript.exe 가 활성화 되는 것을 볼 수 있습니다.

 

[그림] 작업 관리자 창에 새로 추가된 wscript.exe

 

2) MyMP3와 같은 VBS/Autorun 악성코드에 감염된 이동식디스크를 PC에 연결한 뒤 폴더내용을 확인하기 위해 이동식디스크를 더블 클릭하게 되면 Autorun으로 인해 위의 그림과 같이 자동으로 PC에 감염이 됩니다. 감염된 이동식디스크가 PC에 연결되어 폴더내용을 확인할때 실행되는 Autorun으로 방식으로 다수의 PC를 감염시키게 됩니다. 보통 악성코드는 보통 숨김파일로 존재하기 때문에 사용자가 파악하기 쉽지 않습니다. 아래 그림은 숨김파일을 해제한 후 보여지는 악성코드입니다.

 

[그림] 이동식디스크와 로컬디스크(C:\)에 악성코드(MyMP3)에 감염된 모습

 


3. 치료 및 권장사항

1) V3Lite의 실시간 검사를 항상 유지합니다. V3엔진에 추가된 악성코드라면 폴더내용을 확인하기 위해 이동식디스크 더블클릭 하는 순간 아래 그림과 같이 악성코드를 발견하게 됩니다.

 

[그림] V3 Lite의 실시간 감지기의 VBS/Autorun 악성코드 발견

 

2) 이미 감염되었다고 의심이 되는 경우 v3Lite의 정밀검사를 통해 악성코드를 치료합니다.

 

[그림] V3 Lite VBS/Autorun 악성코드를 치료하는 모습

 

3) 자동실행(Autorun) 실행방지 방법

 안철수연구소에서 제공하는 Autorun 실행 방지 프로그램을 다운로드 받아 설치합니다.

아래에 안내해 드리는 프로그램은 안철수연구소에 자체 제작한 프로그램으로 이동식디스크를 더블 클릭시에 작동하는 Autorun의 실행을 방지하여 다수의 Autorun 악성코드의 감염을 예방할 수 있습니다.


 [USB Block 다운로드]

 

 

4. 끝으로..

 퍼져있는 모든 악성코드를 조기에 발견하여 치료하는 것이 가장 좋은 방법입니다. 하지만 매일 무수히 만들어지는 모든 악성코드에 미리 대응하는 것은 현실적으로 어렵다고 할 수 있습니다. 이미 퍼져있는 악성코드의 확산을 막는 것과 새로 만들어진 악성코드에 최대한 빠른 대응을 통해 사용자 피해를 최소화 하는 것이 저희 ASEC대응팀의 임무라고 생각합니다. 또한 대부분의 악성코드들은 VBS/Autorun 악성코드와 같이 사용자가 인식하지 못하는 상태에서 확산되는 경우가 대부분입니다. 그러므로 사용자들 또한 주기적인 백신 업데이트 및 검사를 통해 피해를 막는 것이 중요하다고 생각합니다.

 

이것으로 저희 첫 블로그 포스팅을 마치겠습니다.

감사합니다^^)/

 

신고
Posted by 비회원
TAG autorun, USB, vbs
최근 ADS(Alternate Data Stream)의 형태로 실행되는 VBS/Autorun 악성코드의 감염에 의한 피해가 꾸준히 발생되고 있습니다.

 

ADS(Alternate Data Stream)에 대한 정보는 아래의 링크를 참조하시기 바랍니다.

링크 : NTFS 파일 시스템의 숨겨진 영역



1. 감염증상

- 각 루트 드라이브(C:\, D:\, …)폴더들이 바로가기파일의 형태로 확인


 


-
바탕화면의 [내 컴퓨터]를 실행하여도 반응이 없음


-
레지스트리 편집기(Regedit.exe) 툴이 실행 후 바로 종료되는 등의 증상 발생



2. 생성파일 및 레지스트리 정보

- 아래의 파일이 생성

각 루트 드라이브에 [10자리 숫자].vbs, autorun.inf
%Windir%\explorer.exe:[10자리 숫자].vbs

%Systemroot%\system32 \smss.exe:[10자리 숫자].vbs


- 레지스트리 정보

bat, chm, cmd, hlp, inf, ini, reg, txt 파일들에 대한 연결 파일 변경 등



3. 조치방법

 위의 증상을 포함하는 악성코드에 감염된 경우, 각종 레지스트리 값의 변경으로 인해 사용자들께서 수동으로 조치하기에는 어려움이 있을 것으로 판단됩니다.

 

따라서, 안철수연구소에서 제공하는 ADS 전용백신을 이용하여 진단/치료하시기를 권해드립니다.


다운로드 : ADS 전용백신


전용백신으로 진단/치료를 완료하신 후에는 V3제품을 최신엔진으로 업데이트하신 다음, 수동 검사(정밀 검사)를 통한 시스템 전체 검사의 수행을 권해드립니다.

 

신고
Posted by 비회원