실제 판도라 CDN 통해 유포...업데이트 기능 통해 유포 추정

[보안뉴스 김태형] 판도라TV 업데이트 서비스를 통해 악성파일이 유포되고 있어 이용자들의 주의가 필요하다.

잉카인터넷 대응팀 문종현 팀장은 “판도라TV 업데이트 서비스를 통해 악성파일이 5일 배포됐는데 유효 디지털 서명까지 포함하고 있다. 이 업데이트용 xml 파일은 ‘http://cdn.ptvcdn.net/PandoraService/new_patch/Service_Update_New.xml’이며 현재 정상적인 최신 버전은 1.0.3.2버전”이라고 밝혔다.


    
하지만 5일 실제 유포됐던 악성파일은 다음과 같고 현재는 제거된 상태다.
-http://cdn.ptvcdn.net/PandoraService/new_patch/PandoraService_1.0.3.3.exe
         
이 악성파일은 유효한 디지털 서명을 포함하고 있다. 추가 생성되는 악성파일도 동일한 디지털 서명을 포함하고 있다. 예전에 국내 다수 배포된 악성파일처럼 존재하지 않는 이미지 파일 서버로 접근을 시도한다.

     
문 팀장은 “이 악성파일이 실행되면 실행된 경로에 정상파일로 교체된다. 따라서 이용자는 화면에 보여지는 것이 없어 두 번 실행하면 실제 정상적인 판도라TV 파일을 실행하게 된다”면서 “판도라TV 정상적인 디지털 서명은 위의 그림과 같고 5일 오전부터 유포가 포착됐다. 실제 판도라 CDN을 통해서 유포되었기 때문에 업데이트 기능을 통해서 유포된 것으로 추정된다”고 덧붙였다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>