알약 3.3 DDoS 전용백신으로 위장한 악성코드가 다음 카페 등에서 유포되고 있어 PC 사용자들의 주의가 필요하다.

㈜이스트소프트(대표이사 김장중)는 3.3 DDoS 공격 및 하드디스크 파괴와 관련하여, 알약 전용백신으로 위장한 악성코드가 다음 카페 등 여러 사이트에서 유포되고 있다고 7일 밝혔다.

알약 DDoS 전용백신으로 위장한 악성코드는 PC 원격제어 및 개인정보 유출을 목적으로 제작된 전문 P모 해킹 프로그램으로 생성되었으며, 키로깅 기능과 PC 원격제어를 이용한 개인정보 유출 기능을 활성화시켜 유포했다.

현재까지 발견된 알약 전용백신 위장 악성코드에서는 C&C 서버의 주소가 잘못 설정 되어 다행히 유출된 패스워드 및 개인정보가 서버까지는 도달하지 못했다. 하지만 향후 다른 추가 변종에서는 이러한 서버 문제가 수정될 가능성도 남아있어 주의가 요구된다.

알약 최신버전에서는 다음 카페 등에서 알약 전용백신으로 위장한 악성코드를 내려 받을 때 (진단명: Backdoor.Redosdru.D, Dropped:Trojan.Generic.5520130) 실시간 감시로 차단하고 있으며, 이미 감염된 경우에도 알약으로 치료가 가능하다.

이스트소프트 알약개발부문 김준섭 부문장은 “이번에 발견된 알약 전용백신 위장 악성코드는 3.3 DDoS와 하드디스크 파괴 이슈를 노린 사회공학 기법의 전형적인 악성코드”라며, “알약 전용백신은 카페나 블로그 같은 곳보다 알약 공식 홈페이지(www.alyac.co.kr)에서 다운로드 받으면 안전하게 검사할 수 있다”고 강조했다.

<짝퉁 알약 전용백신 아이콘 – 별도의 악성코드 실행 화면은 존재하지 않음>



<정식 알약 전용백신은 디지털 서명이 적용되어 있음>




<알약 전용백신으로 위장한 악성코드는 디지털서명이 없음>



<감염된 PC에서는 6724번 포트가 Open되게 되지만 서버 설정이 잘못되어
유출된 개인정보가 서버에 도달하지 않는다. – 빨간색 및 초록색 부분>



알약 전용백신으로 위장한 악성코드는 PC 원격제어 및 개인정보 유출을 목적으로 제작된
전문 P모 해킹 프로그램 3.4버전으로 생성되었다.
(서버 주소는 잘못 설정되었다.)



<원격제어 시도 화면>

Posted by ESTsoft

댓글을 달아 주세요

이전 1 ··· 97 98 99 100 101 102 103 104 105 ··· 111 다음

Back To Top