볼란드 델파이 파일 감염 Induc 바이러스 확산

2009년 8월 17일부터 ASEC으로는 볼란드 델파이(Boland Delphi)에 감염된 의심스러운 파일들이 접수되기 시작하여 18일에는 다수의 감염 의심 파일들이 접수되었다.

ASEC으로 접수된 해당 볼란드 델파이 파일들은 모두 Induc이라는 새로운 바이러스에 감염된 파일들이었으며 한국 뿐 만아니라 소포스(Sophos), 캐스퍼스키(Kaspersky), 아바스트(AVAST), 에프시큐어(F-Secure) 등 대부분의 보안 업체들로부터 새로운 Induc 바이러스의 전파에 대해 보고가 이루어졌다.


이번에 새로 발견된 Induc 바이러스는 기존에 알려진 바이러스들인 후위형, 전위형 및 겹쳐쓰기 등과 같은 전통적인 형태의 바이러스와는 다른 감염 형태를 가지고 있으며 아래와 같은 특징들을 가지고 있다.

1. 시스템에 존재하는 일반 다른 실행 파일들(EXE 및 DLL)에 자신의 바이러스 코드를 삽입 하지 않는다.

2.  볼란드 델파이에서 사용하는 라이브러리 소스 파일인 sysconst.pas에 바이러스 코드를 삽입하여 볼란드 델파이 컴파일러인 ddc32.exe을 통해 변경된 라이브러리 파일을 생성해 감염시키는 방식이다.

3. 볼란드 델파이 개발자가 소스 코드를 빌드하여 실행 파일을 생성하면 감염된 라이브러리 파일로 인해 위 이미지와 같이 실행 파일의 코드 섹션(Code Section)에 바이러스 코드가 삽입 된다.
현재 V3 제품군에서는 해당 바이러스를 다음과 같이 진단 및 치료한다.

Win32/Induc

이 번에 발견된 Induc 바이러스는 기존의 정통적인 다른 파일들에 기생하는 형태가 아니라 실행 파일을 만들어내는 컴파일러의 라이브러리를 감염 시킨다.

이로서 해당 바이러스에 감염된 것을 모르는 개발자로 하여금 다른 바이러스 감염 파일들을 양산하게 만드는 독특한 감염 기법을 사용한 형태로 볼 수 있다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments