침해사고/위협동향

이스트소프트, 백신·업무용SW 실행을 방해하는 악성코드 발견

이민형 기자
- 백신은 물론 일반SW 실행 방해하는 특수한 케이스

[디지털데일리 이민형기자] 20일 이스트소프트는 국내 주요 백신 및 기타 프로그램의 실행을 방해하는 악성코드가 등장해서 사용자들의 주의가 필요하다고 밝혔다.

온라인 게임 및 기타 주요 사이트 계정 탈취를 위해 국내 주요 백신의 실행을 방해하는 중국발 악성코드는 지금까지 지속적으로 발견돼 왔다.

그러나, 이번에 발견된 악성코드는, 사용자가 백신 프로그램을 설치할 때 기본 설치 경로가 아닌 별도의 경로를 지정한 경우, 악성코드가 목적으로 했던 백신의 실행 방해 외에 다수의 일반 응용프로그램까지 악성코드의 영향을 받을 수 있다는 특징을 가지고 있다.

이번에 발견된 악성코드는 윈도우 레지스트리에 등록된 프로그램의 정보를 변조해 해당 프로그램을 실행하려 할 때 디버깅 프로그램을 띄우는 방식으로 정상 프로그램의 실행을 방해한다. 해당 악성코드는 우선 레지스트리의 경로를 확인해 국내 주요 백신이 설치되어 있는 경우, 백신 관련 파일이 존재하는 위치에서 2단계 상위 폴더에 속한 모든 파일의 실행을 방해한다.

따라서 사용자가 프로그램의 기본 설치 폴더를 임의로 수정한 경우에는, 악성코드가 애초에 의도했던 위치가 아닌 다른 폴더에 악성행위가 이뤄지면서 그곳에 존재하는 일반 응용 프로그램의 실행까지 모두 방해하게 된다. 이러한 이유 때문에 개별 응용 프로그램의 고객센터로 해당 프로그램의 실행 오류를 호소하는 신고가 속속 접수되고 있는 상황이다.

일단 감염된 PC에서는 사용자가 프로그램을 실행할 때 정상적으로 실행되지 않고 ‘파일을 찾을 수 없다’ 라는 오류 메시지가 뜨면서 정상적인 PC 활용이 불가능하다. 또한 해당 악성코드는 추가적인 업데이트를 위해 특정 중국 블로그에 접속한다.

알약에서는 해당 악성코드를 ‘Trojan.Downloader.OnlineGames.svo’로 탐지하고 있으며, 해당 악성코드에 감염됐을 경우 알약에서 제작해 배포하는 전용백신을 통해 치료하면 정상 프로그램의 실행을 방해하는 레지스트리값을 원래대로 복원할 수 있다.

이 회사 김준섭 알약개발부문장은 “악성코드가 온라인게임 계정 탈취 및 기타 악성행위를 위해 백신 제품을 무력화시키는 형태의 공격은 많이 발생했지만, 이번 경우는 악성코드의 문제로 인해 의도하지 않은 더 큰 피해를 사용자에게 준 케이스”라며 “이미 감염된 경우 알약 홈페이지에서 배포하는 전용백신을 다운로드하여 PC를 점검/치료하고, 동시에 믿을 수 있는 백신 제품을 설치하여 해당 악성코드로부터의 감염을 사전에 예방해야 한다”고 말했다.

해당 악성코드를 치료하는 알약 전용백신은 이스트소프트 시큐리티센터 페이지(alyac.altools.co.kr/SecurityCenter/Analysis/VaccineDownloadView.aspx?id=23
)에서 다운로드 가능하다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널