PDF와 MS윈도 보안패치로 위장한 트로이목마, 백도어 경계경보
형태 :트로이목마, 백도어
바이러스 이름 : Trojan-Downloader.Win32.Vidlo.m, Backdoor.Win32.SdBot.gen
PDF 파일로 위장한 트로이목마와 마이크로소프트 윈도우의 05년 5월 보안패치처럼 위장한 백도어가 해외 이메일에서 지난 5월17일부터 자주 발견되고 있어 주의가 요망된다. 확장자와 아이콘을 마치 PDF 파일처럼 위장한 트로이목마는 그 동안 악성 웜 등이 사용한 확장자가 아니기 때문에 쉽게 실행할 수 있어 감염우려가 높으며, MS사의 보안패치로 위장한 백도어도 사용자가 의심하지 않고 실행할 수 있어 쉽게 감염될 가능성이 높다.
PDF파일은 Adobe사의 Portable Document Format 형태의 문서파일로 많은 사용자들이 익숙하다는 것을 악성프로그램 제작자가 악용한 사례이고, MS 윈도우의 최신 보안패치로 위장한 것은 오히려 그 위장기법을 통해서 역으로 보안취약점을 이용하는 Bot을 유포하는 특이한 경우이다.
백신업체 (주)지오트의 바이러스분석실(GCERT)은 이번에 발견된 해당 파일을 분석해 본 결과 PDF로 위장한 트로이목마는 다른 파일을 웹에서 받아오는 기능을 가진 것으로 확인됐다고 밝혔다. MS 윈도우의 보안패치 프로그램 안내 이메일로 위장한 것은 배포 도메인 자체를 윈도 업데이트 사이트처럼 교묘하게 위장하기 위해서라고 밝혔다.
감염시 증상
감염된 시스템에 추가로 백도어나 트로이 목마 또는 웜 같은 말웨어(Malware)를 설치하여 다른 시스템을 공격하기 위한 경유지로 사용할 수 있으며 감염된 시스템의 프로그램 종료, 유명 게임의 시디 키 그리고 시스템 정보(운영체제 버전, 시디키등..)가 유출될 수 있다.
대응법
트로이목마와 악성코드를 진단/퇴치할 수 있는 백신프로그램을 지오트 홈페이지에서 내려받아 PC에 설치하면 된다. (http://www.geot.com)
용어설명
- bot이란?
봇은 로봇의 준말로서, 사용자나 다른 프로그램 또는 사람의 행동을 흉내 내는 대리자로 동작하는 프로그램을 의미한다. 예를 들면, 사용자가 어떤 명령에 대한 결과값을 얻고자 할 때 그 행동을 대신 수행해 주는 역할을 하는 프로그램을 의미한다.
- 위험도
지오트는 신종 바이러스의 위험도를 '정상, 주의, 긴급, 위험' 4단계로 구분한다. 오늘 보내드린 트로이목마와 백도어는 주의 등급이다. 해외이메일을 통해서 발견되고 있으며, 그 파괴력이 긴급과 위험에 비해 상대적으로 낮은 등급이다. 긴급 등급은 국내에서 급속히 번지고 있어 피해가 예상되는 것을 의미하며, 위험은 그 피해가 정도가 막대할 것으로 예상되는 최고등급을 의미한다.
웹사이트: http://www.geot.com
연락처
이지스커뮤니케이션즈 김세희 대리 3443-8870
