출처 불분명한 메일 첨부 파일 함부로 확인하지 말고, 운영체제 최신 상태로 유지해야
[보안뉴스 박은주 기자] 최근 CMD 파일 형태로 유포되는 ‘DBatLoader(ModiLoader)’라는 이름의 다운로더 악성코드가 발견됐다. 피싱 메일을 통해 퍼지고 있으며 추가 악성코드를 내려받는 등 위협이 이어질 수 있어 주의가 요구된다.
▲CMD 파일이 첨부된 피싱 메일[자료=ASEC]
CMD(Command Prompt) 파일은 윈도우 운영체제에서 사용되는 명령 스크립트 파일을 말한다. 이 같은 명령 스크립트 파일 형태로 악성코드가 유포되고 있는 것. 안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 DBatLoader와 같은 속성의 악성코드가 과거 피싱 메일을 통해 실행 파일(EXE파일)과 압축 파일(RAR) 형태로 유포됐다.
▲CMD 파일 내부 코드 변환 내용[자료=ASEC]
해당 악성 파일을 분석해 보면, ‘UTF-16LE’를 의미하는 FF, FE가 포함돼 있었다. 따라서 내부 코드를 텍스트 에디터로 열었을 때 정상적인 내용이 확인되지 않았다. 파일을 ‘UTF-8’로 변환해 내부 코드를 텍스트 에디터로 열어보니 한글 윈도우가 아닌 영문 윈도우에서 실행되는 걸 확인했다. 한글과 영문 윈도우에서 cmd.exe를 사용하는 코드 페이지가 달라 위 같은 현상이 발생했다. 또한, 코드 자체가 난독화돼 있고, 파일 내부에 BASE64로 인코딩된 실행 파일이 포함돼 있었다.
CMD 파일이 실행되면 윈도우에 내장된 프로그램인 ‘extrac32.exe’을 통해 악성 파일 이름을 바꿔 저장 및 실행하게 된다. 이때 CMD 파일 내부에 포함된 데이터를 해석해 ‘.Pif’ 확장자로 변경한 후 실행하게 된다. 일련의 과정을 거쳐 디코딩된 DBatLoader는 델파이 언어로 코드를 변환한 실행 파일이다. 최종적으로 파일 내부에 포함된 DLL을 불러온 후 외부에서 추가 데이터를 받아와서 복호화 과정을 거쳐 실행된다.
이처럼 피싱 이메일을 통해 CMD 파일이 압축돼 유포되고 있다. 악성코드 감염을 예방하기 위해서는 출처가 불분명한 이메일 열람 시 주의를 기울여야 한다. 첨부 파일이나 URL은 함부로 클릭해선 안 된다. 백신 프로그램을 사용하고 운영체제 보안 업데이트를 최신 상태로 유지하는 것이 안전하다. 응용 프로그램과 크롬, 파이어폭스 등 인터넷 브라우저 역시 최신 버전으로 업데이트해 취약점에 노출되지 않도록 주의해야 한다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>