안티바이러스 제품의 진단을 우회하기 위해 이메일에 첨부한 악성코드의 포맷을 실행파일에서 압축(zip)포맷으로 악성코드를 유포하던 제작자들이 파일 포맷을 ZIP에서 ISO 포맷으로 변경한 것을 확인하였다.
|
|
[그림-1] ISO 파일 포맷으로 악성코드를 유포하는 이메일
ISO파일은 국제 표준화 기구에서 제정한 CD-ROM 매체를 위한 파일 시스템으로 디렉터리로 파일을 관리 한다. 해당 구조는 표준화가 되어있어 운영 체제가 이에 대응하고 있으면 CD-ROM으로 인식하여 읽어낼 수 있다.
ZIP 포맷에서 ISO 포맷으로 변경된 배경은 Windows8 이전 버전에서는 별도의 프로그램이 설치되어있어야 CD-ROM으로 인식 후 실행 가능하였지만, Windows8 마일스톤 버전에서 추가된 기능에 의해 자동으로 ISO 이미지가 CD-ROM으로 마운트 되어 아래 그림과 같이 동작한다.
|
|
[그림-2] Windows8 이상 버전에서 자동으로 마운트 되어 실행되는 ISO 파일
별도의 설정 없이 사용자가 내부 파일을 실행할 수 있으며, 상기 그림과 같이 문서파일 아이콘으로 위장하고 있는 실행파일은 사용자가 주의하지 않는다면 오인하고 실행할 가능성이 크다.
ISO파일 Offset 0x8000에는 다음과 같이 ISO파일을 확인할 수 있는 문자열과 디렉터리 구조에 따라 내부 파일에 대한 정보를 갖고 있다.
|
|
[그림-3] ISO 내부 포함된 파일의 파일명
ISO파일은 표준화된 구조로 범용성을 위해 데이터를 압축하지 않고 기록하기 때문에 내부에 아래그림과 같이 실행파일을 포함하고 있다.
|
|
[그림-4] ISO파일 내부 압축 되지 않은 실행파일 데이터
V3 제품에서는 위와 같은 ISO 포맷으로 유포되는 실행파일을 다음과 같은 간단한 옵션 설정으로 검사가 가능하다.
해당 옵션을 설정하는 방법은 제품별로 다음과 같다
V3 ES 9.0 설정 방법(제품별 설정 방법 동일)
환경설정 – PC 검사설정 – 정밀검사 탭 –검사 대상 설정 클릭
|
|
[그림-5] V3 ES 9.0 설정 화면
예방
악성코드로부터의 완벽한 예방법은 없지만, 다음과 같은 예방법으로 감염 가능성을 최소화할 수는 있다.
|
1. 안티바이러스 제품의 엔진 패턴 버전을 최신으로 유지하고 주기적으로 시스템 검사를 실시한다. 2. Windows 운영체제를 포함하여 Adobe Flash, JAVA 등 주요 프로그램을 최신 버전으로 유지한다. 3. 신뢰되지 않는 사이트 및 이메일의 열람을 주의한다. |
Categories:악성코드 정보