상하이방

지난 11월은 유난히 국제적인 행사가 많았다. 한국에서는 G20 정상회의가 있었고, 중국에서 전 아시아인의 관심 속에 성황리에 광저우 아시안게임이 개최되었다. 최근의 노벨상 시상식에 이르기까지…. 그런데 이런 국제적인 유명 행사를 악용하여 사용자를 속이고 피해를 끼치는 악성 코드가 어김 없이 등장한다.
언급한 세 행사 모두 악성 코드 유포 행위가 보고된 것을 보면, 이런 악의적인 행위가 향후에도 명백히 근절될 수 있을 것인지 참으로 난망하다.

G20 정상회의 정보 위장 스팸 메일

G20 정상회의 관련 악성 코드는 ‘G20 Issues paper’이라는 제목의 메일로 유포되었다. 사용자를 속이기 위하여 메일의 본문에 작성된 링크를 클릭하도록 유도한 후, 압축 파일을 다운로드 하게 하는 방식이다. 이 압축 파일 내부에는 워드(doc) 문서로 위장된 악성 코드가 존재한다. 사용자는 이것이 단순한 워드 문서라고 생각하여 이를 실행하도록 속임수를 쓴다. 즉, doc 문서가 실행됨과 동시에 특정 폴더에 악성 코드가 만들어지고, 시스템 시작 시 실행될 수 있도록 레지스트리 값을 설정하고 특정 URL을 통해 접속을 시도하게 만든다.

[그림1] 문서 파일을 실행한 것처럼 위장하는 doc 문서

아시안 게임 관련 정보 문서로 위장한 악성코드

광저우 아시안게임을 사칭한 악성 코드의 동작 행위를 보면, 실행시 사용자를 속이기 위하여 손상된 The 16th Asian Games.pdf 파일을 생성하고, 두 곳의 특정 웹사이트로 접속을 시도하여 감염된 컴퓨터의 이름과 운영체제 정보 IP 주소를 훔쳐낸다.
이 악성 코드는 아시안 게임 개막을 앞둔 시점에 한국 내에서 발견되었다. 이 악성 코드는 그림과 같이 "The 16th Asian Games[공백].exe"의 이름으로, 파일명의 확장자 이전까지 많은 공백을 삽입하여 실행 파일임을 숨기는 방법을 사용한다. 더구나 파일명 앞에 폴더 모양의 아이콘으로 위장해 보여줌으로써 사용자가 실행파일인 줄 모르고 클릭하게 만드는 트릭을 쓰고 있다.

[그림2] 폴더 아이콘으로 위장한 악성 코드

 

[그림3] 파일명에 긴 공백을 두어 위장한 악성 코드. 폴더 내 파일 필드의 간격을 일부러 조정하여 확인하기 전에는 이것이 파일이 아니라 폴더인 것으로 착각하기 쉽다.

 
이와 같은 방법으로 사용자가 해당 악성코드를 실행하게 되면, 특정 폴더에 PDF 파일이 생성된다. 그리고 PDF 파일이 생성된 폴더를 화면에 출력하게 된다. 하지만 생성된 PDF 파일은 손상된 파일로, 사용자로부터 악성코드의 실행을 숨기기 위한 위장술에 지나지 않는다.

[그림4] 특정 폴더에 생성된 PDF 파일

 
의심 파일은 클릭 No!

국제적인 이목을 끄는 행사나 사건들은 사용자들의 관심이 크기 때문에 악성 코드 제작자들의 악의적인 수단으로 이용되는 경향이 크다. 이런 종류의 악성코드는 보통 메일로 전달되므로 메일 내 링크나 첨부 파일을 클릭하거나 실행하지 않는 것이 최선의 예방책이다. 만약 의심스러운 첨부 파일에 대한 정확한 정보를 알고 싶다면, 안철수연구소 홈페이지(www.ahnlab.com)에 있는 바이러스 신고센터를 이용하여 의심 파일을 신고하면 된다.

▷김현숙(안철수연구소 중국법인 총경리)

ⓒ 상하이저널(http://www.shanghaibang.net), 무단전재 및 재배포 금지