V3 Lite 등 보안 프로그램을 무력화하는 악성코드가 확인됐다. 특히 이번에 발견된 악성코드는
윈도우 운영체제에 기본으로 제공되는 ‘윈도우 디펜더(Windows Defender)’도 무력화하는 것으로 확인돼 윈도우10(Windows 10)
이용자들 또한 각별한 주의가 요구된다.
이번에 발견된 악성코드는 감염 PC에서 사용자 몰래 가상화폐(암호화폐, Cryptocurrency)를 채굴(mining)하는 마이너(Miner)
악성코드로, 이 악성코드의 배치 파일(*.bat)이 다수의 보안 관련 프로그램 및 서비스를 윈도우 방화벽의 차단 리스트에 등록함으로써 사용자
PC를 위험에 노출시킨다.
이 악성코드가 차단을 시도하는 보안 프로그램은 V3 Lite, 윈도우 디펜더 등 백신 프로그램을 비롯해 은행 사이트 이용 시 설치되는 해킹 방지
프로그램(ASTx), 또 윈도우 운영체제나 MS오피스 프로그램의 보안 패치 업데이트를 위한 ‘윈도우 업데이트 서비스’ 등이다.
보안 프로그램 차단 여부, 어떻게 알 수 있나?
그렇다면 이 가상화폐 악성코드에 감염되었는지 어떻게 확인할 수 있을까? 우선, 현재 V3 제품은 이 가상화폐 채굴 악성코드를 탐지하여 차단하고
있기 때문에 별 다른 문제가 발생하지 않는다. 다음은 V3 제품군은 해당 악성코드를 탐지 및 차단하는 진단명이다.
<V3 제품군 진단명>
- Trojan/Win32.Agent (2018.09.12.00)
- BAT/AVKill.S1 (2018.09.14.03)
- Malware/MDP.behavior.M2008
V3 Lite를 사용 중이지만 최신 버전의 엔진을 적용하지 않았거나 실시간 감시 기능을 이용하지 않을 경우, 또는 V3 제품을 사용하지 않고
있을 경우라면 감염 가능성을 완전히 배제하기 어렵다. 이 경우 각각 다음과 같은 증상 또는 방법을 통해 해당 악성코드의 감염 여부를 판단할 수
있다.
우선, V3 Lite를 설치한 PC에서 정상적으로 인터넷을 이용하고 있는데 갑자기 [그림 1]과 같은 ‘업데이트 오류’ 창이 나타난다면 해당
악성코드 감염을 의심해볼 필요가 있다. 또는 인터넷이 정상적으로 연결되는 상황이라면 PC 화면 하단의 트레이 아이콘에서 V3 Lite 아이콘을
우클릭한 후 ‘업데이트’를 클릭해보는 것도 방법이다. 마찬가지로 이때 [그림 1]과 같은 오류창이 나타난다면 해당 악성코드 감염을 의심해볼 수
있다.
[그림 1] 악의적인 방화벽 차단에 의한 V3 Lite 업데이트 오류
이 경우, 안랩 홈페이지에서 제공되는 전용 백신(Registry Fix Tool)을 실행해 악성코드에
의한 방화벽 차단 조치를 ‘허용’으로 수정한 후, V3 Lite의 엔진 버전을 업데이트하면 된다.
이렇게 V3 Lite의 엔진 버전을 최신으로 업데이트한 후 정밀 검사를 실시해 해당 악성코드를
삭제한다.
► 해당 전용 백신 바로가기
V3 Lite가 설치되지 않은 경우, 이 악성코드에 감염되어 방화벽 차단 리스트가 변조되었는지
확인하는 방법은 다음과 같다. 윈도우 시작 버튼을 클릭 후 [그림 2]와 같이 ‘프로그램 및 파일
검색’ 창에 "wf.msc"를 입력하여 실행한다. 그러면 [그림 3]과 같이 윈도우 방화벽 설정
내용을 확인할 수 있는 화면이 나타난다.
[그림 2] 윈도우 OS의 ‘프로그램 및 파일 검색’ 창
[그림 3]은 예시 화면으로, 'OpenVPN1.0'과 'Skype updater'라는
프로그램의 인바운드와 아웃바운드 연결을 ‘모두’ 차단으로 설정해둔 것이다. 이런 식으로 윈도우 디펜더 등의 보안 프로그램이 차단되어 있지 않은지
확인할 수 있다.
[그림 3] 윈도우 방화벽 설정 예시
만일 윈도우 방화벽에 윈도우 디펜더나 ASTx 등 보안 프로그램의 연결이 차단되어 있다면 마찬가지로
안랩 홈페이지를 통해 제공되는 전용 백신을 통해 방화벽 차단 조치를 허용으로 변경할 수 있다.
윈도우 방화벽 설정을 변경해 보안 프로그램의 업데이트를 방해, 무력화를 시도하는 가상화폐 채굴
악성코드에 관한 보다 상세한 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.
► ASEC 블로그 바로가기
[출처 : 안랩(((((www.ahnlab.com)]
