실행파일형 RAR압축파일로 위장한 악성코드 뉴스

북웜이라 부리는 종류라는데, 이런 것이라 하네요. 태국에서 발견된 것이라고 합니다.

모 사이트에 올라온 동작내용 소개 링크

원본 기사 링크

간단 요약:

1. 예를 들어 ABCD.exe 라는 파일이 있는데 실행파일로 만들어진 RAR압축파일로 위장했음. Smart Installer Maker라는 응용프로그램 설치 프로그램을 이용해 패키징돼 있음. 이 인스톨러 프로그램은 해커들이 잘 쓰는 것 중 하나.
   
2. 툴로 보면 RAR 실행압축파일(elf-extracting RAR archive)로 인식되고 안에 readme.txt 와 실행파일, 예를 들어 ABC.exe와 거기 딸린 DLL이 들어있다고 보고되는데, 실행파일과 DLL파일은 검사해도 별 문제가 없음.
   
3. 문제는 readme.txt 파일에 있다고 함. 악성코드 DLL을 백신이 찾지 못하게 XOR연산한 뒤 몽땅 때려박아넣어버린 것임.
4. 보통은 txt파일은 텍스트에디터나 워드프로세서가 읽으므로, 그런 프로그램의 버그를 이용하지 않는 나쁜 코드를 담고 있다 해도 실행되지 않으니 해가 안 될 것 같지만, 그게 아니라고 함.
5. ABCD.exe 를 실행하면 인스톨러가 일단 저 파일들을 압축해제한 뒤 ABC.exe를 실행함.
6. ABC.exe는 캐스퍼스키(Kaspersky) 백신 파일 ushata.exe와 MS의 악성코드관련 프로그램 MsMpEng.exe가 설치돼있는 지 찾음.
7. 그리고 그 두 파일이 검색되면 처음 보여준 깨끗한 DLL을 등록함. 그 과정에서 마이크로소프트 서비스로 등록할 수 있도록 권한을 요구하는데, 깨끗한 파일이므로 허가됨.
   
8. 그 시점에서 이 놈은 깽판치는 데 필요한 모든 권한을 확보했음. 이후에는 readme.txt 로부터 악성코드 모듈을 추출해냄. 그리고 해킹작업을 시작하고 유저 데이터를 빼돌려 전송하기 시작함.

마치 바이러스의 유전자 발현을 말하는 분자생물학글을 읽는 기분이 들었습니다.

옛날에 생태계를 시뮬레이트한 티에라 프로그램 개요를 읽다가 기생생물 소개항목에서 비슷한 걸 본 느낌도 들고요. 이런 악성코드는 스스로 진화한 게 아니라 사람이 만든 코드지만.