침해사고/위협동향

블로그에서 다운로드했는데…백신 프로그램 제거 유도하는 악성코드?

최민지 기자
[ⓒ ASEC]
[ⓒ ASEC]

[디지털데일리 최민지기자] 자료 공유 사이트나 블로그에서 한글‧워드 프로세서 등 프로그램을 내려받아, 악성코드에 감염되는 사례가 발견됐다. 특히, 백신 프로그램 제거를 유도하는 악성코드를 심는 것으로 알려지면서, 피해를 키울 수 있어 주의가 요청된다.

안랩 시큐리티 인텔리전스 센터(ASEC)는 백신 프로그램 ‘V3 라이트(V3 Lite)’ 설치를 방해하는 크랙 위장 악성코드를 주의해야 한다고 밝혔다.

크랙 프로그램을 위장한 악성코드는 주로 웹 하드나 블로그, 토렌트를 통해 유포된다. 일반적으로 윈도‧오피스 정품 인증도구, 한글‧워드 프로세서와 같은 정상 프로그램 크랙으로 위장해 악성코드를 유포할 경우, 국내 많은 시스템들이 감염되는 경향이 있다. 주기적인 업데이트를 통해 감염된 시스템이 공격자로부터 지속적으로 관리된다. 이전에도 MS 오피스 크랙을 위장한 악성코드 유포 사례들을 손쉽게 찾을 수 있다.

ASEC에 따르면 공격자는 V3 설치 여부에 따라 악성코드를 다르게 설치하며, 작업 스케줄러 등록을 통해 악성코드를 업데이트하면서 지속성을 유지한다. V3가 설치된 환경이라면 이는 유효하지 않지만, 작업 스케줄러를 치료하지 않는 환경에서는 시스템 내 존재하는 악성코드를 제거하더라도 추가 악성코드 감염을 가능하게 한다.

이에 따라 공격자는 V3 설치 자체를 방해하려는 시도를 꾸준히 하고 있다. V3 라이트가 설치돼 있지 않은 환경일 경우, 이 백신 프로그램 설치를 방해하는 방법을 선택하기도 한다.

다만, V3가 설치되지 않는 감염 시스템에서는 설치 파일명 변경을 통해서 V3 설치가 가능하다. 원래 파일명으로 설치를 시도하면 프로세스가 바로 종료된다. 설치하려고 할 때 별다른 반응이 없다면, 악성코드 감염을 의심해야 하며, 파일명을 변경한 설치가 필요하다.

ASEC는 “사용자는 V3 제품 설치를 통해 악성코드 삭제와 더불어 작업 스케줄러 치료로 지속적인 감염을 차단하는 것이 가장 중요하며, 제품의 최신 버전을 꾸준히 업데이트하여 악성코드 감염을 사전에 차단하는 것이 효과적”이라고 말했다.

이어 “크랙 프로그램을 위장한 악성코드는 백신 프로그램 제거를 유도하는 경우도 다수 존재하기에 자료 공유 사이트나 블로그와 같은 경로에서 다운로드 받은 프로그램 실행은 주의해야 한다”며 “최근까지도 한컴 설치 파일, KMS Auto 크랙을 위장해 유포되는 것이 확인돼 사용자의 각별한 주의를 필요로 한다”고 덧붙였다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널