침해사고/위협동향

로컬호스트 주소 사용하는 신종 파밍 악성코드 발견돼

이민형

<사진 제공 : 잉카인터넷>
<사진 제공 : 잉카인터넷>
[디지털데일리 이민형기자] 마이크로스프트(MS) 윈도 시스템파일과 호스트파일을 변조해 파밍을 유도하는 악성코드가 발견됐다. 과거와 달리 로컬호스트 IP주소(127.0.0.1)를 사용해 백신SW 탐지를 회피하고 있는 것이 특정이다.

3일 잉카인터넷은 로컬호스트 IP주소를 사용하는 파밍용 악성코드(gmserv32.dll)를 발견했다고 밝혔다. 이 악성코드는 윈도 시스템파일(svchost.exe)과 호스트 파일(hosts.ics)를 변조해 파밍용 홈페이지로 유도한다.

호스트 파일을 변조하는 수법은 이미 오래전부터 사용돼 왔다. 때문에 백신SW는 호스트 파일의 변조여부를 매번 확인하게 된다. 백신SW는 인터넷뱅킹 홈페이지의 주소가 엉뚱한 IP주소로 연결되는 것을 탐지하고 이를 차단한다.

문제는 백신SW도 로컬호스트 IP주소는 걸러내지 않는다는 점이다. 사용자의 편의(광고차단, 사이트차단) 등의 이유로 로컬호스트 IP주소를 호스트 파일에 사용하는 경우가 많기 때문이다. 악성코드는 우선 호스트 파일을 읽어내는 시스템 파일(svchost.exe)에 악성파일을 삽입(injection)해 로컬호스트로 위장된 호스트 파일을 불러온다.

사용자는 정상적인 URL을 입력해서 홈페이지에 접속하더라도 파밍용 홈페이지로 연결되게 된다.

문종현 잉카인터넷 팀장은 “이번에 발견된 악성코드는 로컬호스트 IP주소를 사용함에도 불구하고 파밍 사이트로 연결되도록 유도한 지능적인 수법”이라며 “설령 치료를 했더라도 호스트 파일의 복원 작업을 수행해야 한다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널