상단여백
HOME 보안뉴스 솔루션
PUP 서버 통해 악성코드 유포
ironman | 승인2017.02.04 00:49

최근 또다시 불필요한 프로그램(Potentially Unwanted Program, PUP)의 업데이트 서버가 변조되어 악성코드 유포에 악용된 정황이 포착되었다.

3일 안랩에 따르면 이번 PUP 업데이트 서버를 통해 유포된 악성코드는 온라인 게임핵(Online GameHack) 악성코드와 파밍(Pharming) 악성코드다. 온라인 게임핵 은 게임 계정을 탈취하여 금전을 취득하기 위한 악성코드로 게임 유저들의 각별한 주의가 필요하다.

불필요한 프로그램(PUP)은 주로 유틸리티 프로그램을 설치할 때 스폰서 프로그램(제휴 프로그램)으로 함께 설치된다. 이 렇게 설치된 불필요한 프로그램은 시스템의 IP와 MAC 주소를 전송하고, 새로운 웹 페이지에 방문 시마다 광고 페이지를 추가로 생성하는 등의 기능을 수행한다. 또 윈도우 로그인 시마다 실행되도록 스스로를 시작프로그램에 등록한다.


 

[그림 1] 불필요한 프로그램 설치 화면(왼쪽)과 생성된 파일(오른쪽)


해당 프로그램은 특정 웹 페이지의 응답 값을 통해 업데이트 URL 주소를 확인하고 업데이트 파일을 다운로드한다. 그러나 해당 프로그램의 서버가 변조되어 악성코드를 유포한 시점에는 다운로드 URL이 변경되었으며, 이에 따라 프로그램 동작 시 악성코드를 다운로드 및 실행한다.

이렇게 실행된 악성코드는 추가 파일을 생성하는 한편, ‘C:\windows\system32’ 경로에 존재하는 윈도우 운영체제 파일인 wshtcpip.dll, midimap.dll을 온라인 게임핵 악성코드로 교체한다. 이렇게 교체된 윈도우 운영체제 파일은 이후 윈도우 프로세스 실행 시 악성 행위를 수행하게 된다. 이 밖에도 C&C 서버와의 통신을 시도한다.

ironman  kyw@aisecuritynews.com

<저작권자 © 보안24, 무단 전재 및 재배포 금지>

ironman의 다른기사 보기
icon인기기사
여백
내리고
신화시스템
로고
징코스테크놀러지
회사소개기사제보광고안내불편신고개인정보취급방침청소년보호정책이메일무단수집거부
사업자명 : 보안24  |  서울특별시 금천구 디지털로9길 46,(이앤씨드림타워 7차, 408호)  |  대표전화 : 0507-1456-1987 |  대표이메일 : tmvlem@gmail.com
제호 : 보안24 |  등록번호 : 서울 아05301 |  사업자 번호 : 198-88-01018 |  신문등록년월일 : 2018년 7월 13일 |  대표자 : 박윤재  |  발행인ㆍ편집인 : 박윤재  |  청소년보호책임자 :박윤재
Copyright © 2020 보안24. All rights reserved.
Back to Top