본문 바로가기


뉴스,지식창고/잡지식,추천정보

[AhnLab보안이슈]'윈도우 정품 인증' 위장한 악성코드 주의!

‘윈도우 정품 인증’ 위장한 악성코드 주의!

  • AhnLab
  • 2020-06-10

최근 윈도우 정품 인증 툴로 위장한 악성코드가 유포되고 있어 사용자의 각별한 주의가 요구된다.

 

 

 

 

안랩은 ASEC 블로그를 통해 비다르(Vidar) 인포스틸러(Infostealer) 악성코드가 KMSAuto, KMSPico 등과 같은 툴을 위장해 유포되고 있다고 밝혔다. '인포스틸러(Infostealer)'류의 악성코드는 감염 시스템의 로그인 계정 정보와 웹 브라우저, FTP 등의 응용 프로그램에 대한 정보를 탈취하는 것을 의미한다. 

 

비다르가 악용한 KMSAuto, KMSPico는 윈도우 정품 인증을 위한 불법 인증 툴로서 다수의 일반 사용자들이 인터넷에서 다운로드해서 많이 사용하는 프로그램이다. 사용자들은 윈도우 정품 인증을 목적으로 이들 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 사용자 정보들이 공격자에게 유출될 수 있다. 

 

이 악성코드는 실행 파일(kmsauto-setup.exe, kmspico.exe) 형태로 유포되며 원래 인증 프로그램과 동일한 아이콘을 사용한다. 또한 모두 WinRAR SFX 압축 실행 파일로 만들어져 있으며, 실행 시 아래 [그림 1]과 같이 비밀번호를 요구한다.

 

 

 

 [그림 1] 설치 시 비밀번호를 요구하는 비다르 인포스틸러 악성코드

 

비밀번호는 주로 툴의 명칭(kmsauto, kmspico)을 그대로 사용하며, 만약 해당 비밀번호를 입력하면 악성 파일들을 생성 및 실행하게 된다. 

 

 

 

[그림 2] 비밀번호 입력 시 내부에 포함된 악성 파일들

 

비다르 악성코드가 실행되면 웹 브라우저, FTP 클라이언트, 코인 지갑 주소 등과 같은 사용자의 정보 탈취 행위 이후에 추가 악성코드를 실행할 수 있으므로 더욱 주의해야 한다. 

 

 

 

[그림 3] 비다르 악성코드가 추출한 사용자 정보들

 

현재 안랩 제품군에서 해당 악성코드를 다음과 같은 진단명으로 진단 및 차단하고 있다. 

Dropper/Win32.Agent.C4112761

Trojan/Win32.MalPe.R339224

Trojan/VBS.Agent

Malware/MDP.SystemManipulation.M2040

 

 

이와 같이 불법 프로그램으로 위장한 악성코드 감염을 예방하려면, 제작사 홈페이지에서 정품 소프트웨어를 다운로드 하는 것이 중요하다. 또한 실행 파일, 문서 파일 등 출처가 불분명한 파일은 다운로드 받거나 실행해서는 안된다. 더불어 운영체제와 소프트웨어 최신 보안 패치를 적용하고 V3와 같은 백신의 최신 엔진 적용 및 실시간 감시 기능 실행 등의 필수 보안 수칙을 준수해야 한다. 

 

해당 악성코드에 대한 상세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.

▶ASEC 블로그 바로가기

 

 

  • AhnLab 로고
  • ASEC 분석팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com