* 출처는 안랩입니다.
* 최근 윈도우 정품 인증 툴로 위장한 악성코드가 유포되고 있으니 주의하셔서 피해가 없길 바랍니다..
최근 윈도우 정품 인증 툴로 위장한 악성코드가 유포되고 있어 사용자의 각별한 주의가 요구된다.
안랩은 ASEC 블로그를 통해 비다르(Vidar) 인포스틸러(Infostealer) 악성코드가 KMSAuto, KMSPico 등과 같은 툴을 위장해 유포되고 있다고 밝혔다. '인포스틸러(Infostealer)'류의 악성코드는 감염 시스템의 로그인 계정 정보와 웹 브라우저, FTP 등의 응용 프로그램에 대한 정보를 탈취하는 것을 의미한다.
비다르가 악용한 KMSAuto, KMSPico는 윈도우 정품 인증을 위한 불법 인증 툴로서 다수의 일반 사용자들이 인터넷에서 다운로드해서 많이 사용하는 프로그램이다. 사용자들은 윈도우 정품 인증을 목적으로 이들 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 사용자 정보들이 공격자에게 유출될 수 있다.
이 악성코드는 실행 파일(kmsauto-setup.exe, kmspico.exe) 형태로 유포되며 원래 인증 프로그램과 동일한 아이콘을 사용한다. 또한 모두 WinRAR SFX 압축 실행 파일로 만들어져 있으며, 실행 시 아래 [그림 1]과 같이 비밀번호를 요구한다.
[그림 1] 설치 시 비밀번호를 요구하는 비다르 인포스틸러 악성코드
비밀번호는 주로 툴의 명칭(kmsauto, kmspico)을 그대로 사용하며, 만약 해당 비밀번호를 입력하면 악성 파일들을 생성 및 실행하게 된다.
[그림 2] 비밀번호 입력 시 내부에 포함된 악성 파일들
비다르 악성코드가 실행되면 웹 브라우저, FTP 클라이언트, 코인 지갑 주소 등과 같은 사용자의 정보 탈취 행위 이후에 추가 악성코드를 실행할 수 있으므로 더욱 주의해야 한다.
[그림 3] 비다르 악성코드가 추출한 사용자 정보들
전체내용은 아래주소에 확인하세요