다음 카페 등 여러 주요 사이트에서 유포 중
[보안뉴스 오병민] 알약 3.3 DDoS 전용백신으로 위장한 악성코드가 다음 카페 등에서 유포되고 있어 PC 사용자들의 주의가 필요하다.

이스트소프트(대표이사 김장중)는 3.3 DDoS 공격 및 하드디스크 파괴와 관련하여 알약 전용백신으로 위장한 악성코드가 다음 카페 등 여러 사이트에서 유포되고 있다고 7일 밝혔다.

짝퉁 알약 DDoS 전용백신의 아이콘은 알약 백신과 흡사한 형태로 제작 됐다. 이 짝퉁 백신을 실행시키면 별도의 실행 화면이 없이 악성 기능을 수행하는 것으로 파악됐다. 이 짝퉁 알약 DDoS 전용백신은 PC 원격제어 및 개인정보 유출을 목적으로 제작된 전문 P모 해킹 프로그램 3.4버전으로 생성되었으며 키로깅 기능과 PC 원격제어를 이용한 개인정보 유출 기능을 활성화시켜 유포했다.
 

▲정식 알약 전용백신. 디지털 서명이 적용돼 있다. ⓒ이스트소프트

 

▲짝퉁 알약 DDoS 전용백신. 아이콘이 알약 백신과 유사하며 디지털 서명이 없다 ⓒ이스트소프트

현재까지 발견된 알약 전용백신 위장 악성코드에서는 C&C 서버의 주소가 잘못 설정 되어 다행히 유출된 패스워드 및 개인정보가 서버까지는 도달하지 못했다. 하지만 향후 다른 추가 변종에서는 이러한 서버 문제가 수정될 가능성도 남아있어 주의가 요구된다.

알약 최신버전에서는 다음 카페 등에서 알약 전용백신으로 위장한 악성코드를 내려 받을 때(진단명: Backdoor.Redosdru.D, Dropped:Trojan.Generic.5520130) 실시간 감시로 차단하고 있으며 이미 감염된 경우에도 알약으로 치료가 가능하다.

이스트소프트 알약개발부문 김준섭 부문장은 “이번에 발견된 알약 전용백신 위장 악성코드는 3.3 DDoS와 하드디스크 파괴 이슈를 노린 사회공학 기법의 전형적인 악성코드”라며 “알약 전용백신은 카페나 블로그 같은 곳보다 알약 공식 홈페이지(www.alyac.co.kr)에서 다운로드 받으면 안전하게 검사할 수 있다”고 강조했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>