posted by Kwan's 2012. 12. 24. 20:06


이번 주 초에 나의 동료 피터 서보(Peter Szabo)와 리차드 왕(Richard Wang) 각자는 시간을 떼우기에 좋은 스도쿠(Sudoku) 퍼즐을 만드는 데 사용되는 마이크로소프트 엑셀 스프레드시트로 가장한 맬웨어에 대해 발견하고 그것에 대해 적었습니다.

오늘 아침 나는 “2012년에 지구의 종말이 올까요(Will the world end in 2012)?”라는 제목으로 위장된 파워포인트 파일에 대해 또 다른 소포스랩 연구원인 스캇 시타(Scott Sitar)의 연락을 받았습니다.

엑셀 스프레드시트처럼, 이 파일은 비주얼 베이직 매크로 코드를 가지고 있어서 [X]가 랜덤한 대문자인 경우 VBA[X].exe 라는 실행파일을 만들어냅니다. 사실, 매크로는 스도쿠 퍼즐에서 발견된 것과 기능적으로 아주 동일하였습니다.

또 스도쿠 생성기처럼, 이 샘플은 사용자가 매크로를 허용하도록 요구했지만, 그것을 어떻게 하는지에 대한 도움말이나 여러분에게 매크로가 필요한 어떤 타당한 이유도 포함하고 있지 않았습니다.

이런 매크로들은 무슨 짓을 할까요? 그것들은 단일 배열(arrays of single) 바이트로부터 유용한 윈도우 PE(Portable Executable) 파일을 만들도록 제작되었습니다.

이것이 특히 새로운 것은 아니지만, 이 매크로들이 무엇인가 하도록 설계되었다는 것을 보통의 사용자는 이해하지 못할지도 모릅니다.

추출된 EXE 파일은 소위 드롭퍼(dropper)라는 것입니다. 그것은 올빼미 사진을 다운로드하는 또 다른 윈도우 PE 파일을 만들고, 명령 및 제어 서버에 연결합니다.

그것은 Wmupdate.exe라고 이름을 바꾸는 또 다른 페이로드를 다운로드 하도록 설계되었지만, 우리가 테스트하는 동안에는 명령 및 제어 서버로부터 어떤 지시도 받지 못했습니다.

스캇은 이것들이 자동으로 생성되고 반드시 그것들의 제작자에 의해 손수 만들어지는 것은 아니라는 그의 의혹을 언급하였는데, 나는 그가 옳다고 생각합니다.

나는 주위를 살펴보았고 이런 위험한 매크로가 추가되었던 초기의 감염되지 않은 파일을 발견하였습니다.

지구종말에 대한 프리젠테이션은 이 부비트랩(booby-trapped) 버전과 상관없이 보이는 미국에 있는 한 전도사에 의해 만들어졌습니다. 그래도 이 프리젠테이션을 찾으려고 하지 마십시오!

그의 합법적인 워드프레스(WordPress) 블로그는 해킹당했고, 현재 비아그라 밀매업자나 “역외(off-shore)” 카지노, 외환 사기, 소액대부 등을 위한 검색엔진으로 운영되고 있습니다.

만약 여러분이 이 프리젠테이션이 무엇을 말하려고 하는지 보고 싶다면, 안전하게 볼 수 있는 포맷을 온라인에서 찾을 수 있습니다.

매크로 바이러스가 확실히 새로운 현상은 아닌 반면에, 그것들은 많은 사람들이 생각한 것은 아닙니다.

무작위 소스로부터 얻은 문서들에 대해서는 조심하시고 여러분이 다운로드하거나 이메일 첨부파일로 받은 문서에 있는 매크로는 절대 허용하지 마십시오.

여러분은 거기에 무엇이 숨어 있는지 절대 알지 못하지만, 나는 지구의 종말에 대한 것은 아니라고 추측합니다.

이 문제에 대해 발견하고 이 이야기를 공유할 수 있도록 모든 필요한 분석을 해 준 소포스랩 밴쿠버의 스캇 시타에게 특별히 감사 드립니다.

댓글을 달아 주세요