누군가 바이러스토탈에 업로드한 코로나바이러스 멀웨어...MBR 삭제해
화면 회색으로 바꾸고 조롱의 메시지 띄우고...버튼 눌러도 조롱

[보안뉴스 문가용 기자] 새로운 윈도우 멀웨어가 발견됐다. 마스터 부트 레코드(MBR)을 삭제함으로써 디스크를 사용 불가 상태로 만들어 버리는, 이른바 파괴형 멀웨어인데, 이름이 매우 친숙하다. 바로 ‘코로나바이러스(Coronavirus)’이기 때문이다.


[이미지 = iclickart]

MBR을 덮어쓰기 하는 수법은 악명 높은 삭제형 멀웨어인 낫페트야(NotPetya)에서 먼저 발견된 것으로, 낫페트야는 2017년 당시 전 세계에 빠르게 퍼져가면서 큰 피해를 일으켰었다. 코로나바이러스 멀웨어를 처음 발견한 보안 업체 소닉월(SonicWall)에 의하면 “낫페트야 등 기존에 등장했던 삭제형 멀웨어보다 다소 덜 파괴적이긴 하지만 피해 복구 방법이 없다는 측면에서 위험한 건 마찬가지”라고 설명한다.

코로나바이러스 멀웨어에 당한 사람들은 화면에 회색 화면에 뜨는 것을 보게 된다고 한다. 그 화면 중간에는 “당신의 컴퓨터는 쓰레기가 됐다”는 문구가 반짝반짝 나타난다. ‘코로나’를 테마로 각종 피싱 공격을 일삼던 사이버 공격자들이 이제는 시스템을 마비시키는 멀웨어까지 만들어 퍼트리고 있는 것이다.

하지만 이름이 코로나바이러스라는 것을 제외하고는 기존 멀웨어들과 크게 다르지 않다. 배포되는 방식도 이메일 첨부파일, 파일 다운로드, 가짜 애플리케이션 등 이미 잘 알려진 것들이 주로 사용되고 있다. 피해자가 여기에 속아 멀웨어가 작동하면 제일 먼저 coronavirus.bat이라는 인스톨러가 시작되고, 피해자 컴퓨터에 COVID-19라는 숨김 폴더를 만든다. 그리고 그 폴더로 공격에 필요한 파일들을 옮긴다.

이 과정이 끝나면 인스톨러가 윈도우 작업 관리자(Windows Task Manager)와 사용자 접근 제어(User Access Control)를 비활성화시킨다. 그러면서 사용자의 바탕화면도 바꾸고, 사용자가 다시 바탕화면을 바꾸지도 못하게 배경 설정 옵션도 가려 버린다. 레지스트리에 공격과 관련된 내용을 삽입해 지속성도 확보하고, 시스템 리부트를 통해 설치 과정을 마무리한다.

그런 다음 실행되는 건 run.exe다. 이 프로세스는 run.bat이라는 배치 파일을 생성하는데, 이를 통해 위에서 바꿨던 레지스트리가 리부트 과정 동안 아무런 손상을 입지 않도록 한다고 소닉월 측은 설명한다. 그 다음에는 두 가지 바이너리가 실행된다.

하나는 mainWindow.exe로 코로나바이러스의 그림에 버튼 두 개가 덧붙은 창을 연다. 그러면서 “코로나 바이러스가 당신의 컴퓨터를 감염시켰다”는 메시지를 내보낸다. 두 개의 버튼에는 각각 ‘바이러스 삭제’와 ‘도와줘’라는 글씨가 써져 있는데 전자는 클릭을 해봐야 아무런 일이 일어나지 않고 후자는 ‘시간 낭비하지 말라’는 내용의 팝업창이 뜬다.

두 번째 바이너리는 MBR의 덮어쓰기를 실행하는 ‘핵심 요소’라고 볼 수 있다. 소닉월에 의하면 “시스템의 원래 MBR에 대한 백업이 먼저 이뤄지고 나서 덮어쓰기가 진행된다”고 한다. 덮어쓰기가 끝나면 화면이 회색으로 바뀌고 위와 같은 메시지가 뜨기 시작한다. 이 멀웨어는 바이러스토탈(VirusTotal)에 처음 등장한 것으로 실제 피해 사례는 아직 접수된 바 없다.

보다 상세한 내용은 여기(https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/)서 열람이 가능하다.

3줄 요약
1. 새로운 윈도우 멀웨어, ‘코로나바이러스’ 등장.
2. 코로나바이러스는 MBR을 덮어써서 드라이브를 못쓰게 만드는 삭제형 멀웨어.
3. 바이러스토탈에 ‘미스터리어스’하게 등장했으나 아직 실제 피해 사례는 없는 듯
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>