ASEC Report 2006-11 - AhnLabdownload.ahnlab.com/asecReport/ASEC_Report_200611.pdf · 2009. 1. 9. · [그림4] 2006 7~11월 악성코드 피해 비교 1 애드웨어 넷츠는 ActiveX로

ASEC ReportASEC ReportASEC ReportASEC Report 11111111월월월월

® ASEC Report

2006. 12

I.I.I.I. ASEC Monthly ASEC Monthly ASEC Monthly ASEC Monthly 통계통계통계통계 2222

(1)(1)(1)(1) 11111111월월월월 악성코드악성코드악성코드악성코드 통계통계통계통계 2222

(2)(2)(2)(2) 11111111월월월월 스파이웨어스파이웨어스파이웨어스파이웨어 통계통계통계통계 10101010

(3)(3)(3)(3) 11111111월월월월 시큐리티시큐리티시큐리티시큐리티 통계통계통계통계 12121212

II.II.II.II. ASEC Monthly Trend & IssueASEC Monthly Trend & IssueASEC Monthly Trend & IssueASEC Monthly Trend & Issue 14141414

(1)(1)(1)(1) 악성코드악성코드악성코드악성코드 –––– 복합적인복합적인복합적인복합적인 악성코드악성코드악성코드악성코드 Win32/Glowa.worm Win32/Glowa.worm Win32/Glowa.worm Win32/Glowa.worm 14141414

(2)(2)(2)(2) 스파이웨어스파이웨어스파이웨어스파이웨어 –––– 은폐형은폐형은폐형은폐형 허위허위허위허위 안티안티안티안티 스파이웨어스파이웨어스파이웨어스파이웨어 16161616

(3)(3)(3)(3) 시큐리티시큐리티시큐리티시큐리티 –––– Heap Spraying Heap Spraying Heap Spraying Heap Spraying 기법을기법을기법을기법을 사용한사용한사용한사용한 IE IE IE IE 공격코드의공격코드의공격코드의공격코드의 지속적지속적지속적지속적 등장등장등장등장 21212121

III.III.III.III. ASECASECASECASEC이이이이 돌아본돌아본돌아본돌아본 추억의추억의추억의추억의 악성코드악성코드악성코드악성코드 27272727

안철수연구소의 시큐리티대응센터(AhnLab Security Emergency response Center)

는 악성코드 및 보안위협으로부터 고객을 안전하게 지키기 위하여 바이러스와 보

안 전문가들로 구성되어 있는 조직이다.

이 리포트는 ㈜안철수연구소의 ASEC에서 국내 인터넷 보안과 고객에게 보다 다

양한 정보를 제공하기 위하여 바이러스와 시큐리티의 종합된 정보를 매월 요약하

여 리포트 형태로 제공하고 있다.

Copyright © AhnLab Inc,. All Rights Reserved. Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited.

2

IIII.... AAAASECSECSECSEC Monthly Monthly Monthly Monthly 통계통계통계통계

((((1111)))) 11111111월월월월 악성코드악성코드악성코드악성코드 통계통계통계통계

순위순위순위순위 악성코드명악성코드명악성코드명악성코드명 건수건수건수건수 %%%%

1 - Win32/Virut 44,789 83.5%

2 - Win32/Virut.B 7,634 14.2%

3 - Win32/Bagle.worm.19666 107 0.2%

4 new Win32/Parite 86 0.2%

5 ↑2 Win32/Netsky.worm.29568 36 0.1%

6 new Win-Trojan/Xema.variant 18 0.0%

7 new Win32/Stration.worm.32772.R 12 0.0%

8 new Win-Trojan/LineageHack.96256.F 11 0.0%

9 new Win-Trojan/LineageHack.45056.K 8 0.0%

10 new Win32/FunLove.4099 7 0.0%

기타 931 1.7%

합계합계합계합계 53,63953,63953,63953,639 100.0%

[표1] 2006년 11월 악성코드 피해 Top 10

11111111월월월월 악성코드악성코드악성코드악성코드 피해피해피해피해 동향동향동향동향

11월에도 실행파일을 감염시키는 바이럿(Win32/Virut)과 바이럿.B(Win32/Virut.B)로 인한

피해가 가장 많이 발생한 것으로 분석되었으며, 베이글(Win32/Bagle.worm.19666)의 피해는

지난달과 마찬가지로 3위를 기록되었다.

지난 10월 많은 피해 신고가 접수되었던 바이킹.B(Win32/Viking.B)의 피해는 11월에 한건

도 접수되지 않은 점이 특이하다. 반면, 매스메일러의 일종인 스트레이션 웜

(Win32/Stration.worm.32772.R)이 짧은 시간동안 많은 피해를 주면서 새롭게 10위안에 올

랐다. 또한, 4위에 기록된 패리테 바이러스(Win32/Parite)는 실행파일을 감염시키는 바이러

스로, 2002년 8월에 발견된 바이러스 임에도 많은 피해 신고가 접수되었다. 패리테는 네트워

크 공유를 통해 전파되기 때문에 취약한 공유폴더 이용으로 인해 많은 피해가 발생한 것으

로 보인다.

11월의 악성코드 피해 Top 10을 도표로 나타내면 [그림1]과 같다.


3

11월 악성코드 피해 Top 1011월 악성코드 피해 Top 1011월 악성코드 피해 Top 1011월 악성코드 피해 Top 10

14.2%

83.5%

0.1%

0.0%0.0%0.0%

0.2%

0.2%

0.0%

1.7%

0.0%

Win32/Virut

Win32/Virut.B

Win32/Bagle.worm.19666

Win32/Parite

Win32/Netsky.worm.29568

Win-Trojan/Xema.variant

Win32/Stration.worm.32772.R

Win-Trojan/LineageHack.96256.F

Win-Trojan/LineageHack.45056.K

Win32/FunLove.4099

기타

[그림1] 2006년 11월 악성코드 피해 Top 10

[그림2]에서와 같이 2006년 11월 악성코드 피해건수는 총 53,639건으로, 전년 동월 1,343

건에 비해 약 40배 가량 증가하였으며, 전월에 비해 소폭 증가하였다.

2006년 월별 피해신고 건수2006년 월별 피해신고 건수2006년 월별 피해신고 건수2006년 월별 피해신고 건수

914 1054 833 825 729 808 668

17755

34174

5077153639

2432 1979 1651 1572 2066 1906 1492 1,564 1212 1240 13430

10000

20000

30000

40000

50000

60000

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

2006년

2005년

[그림2] 2006년 11월별 피해신고 건수

[그림3]에서와 같이 매월 두 배 이상의 성장세를 나타내던 바이럿이 11월에는 다소 성장세

가 둔화되었나, 여전히 많은 피해 수치를 보이고 있다. 특히 10월말부터 11월중순 경까지


4

넷츠(Win-Adware/NetS)1라는 애드웨어에 바이럿이 감염된 채 배포되었던 사건이 11월 바

이럿 피해가 다소 증가하게 된 원인 중 하나로 보인다.

월별 바이럿 감염피해 신고월별 바이럿 감염피해 신고월별 바이럿 감염피해 신고월별 바이럿 감염피해 신고

16

11948

23100

39319

44789

9

4293

9438 99037634

0

5000

10000

15000

20000

25000

30000

35000

40000

45000

50000

7월 8월 9월 10월 11월

Virut

Virut.B

[그림3] 월별 바이럿(Win32/Virut) 바이러스 피해신고 건수

7~11월 악성코드피해 건수 비교(바이러스 제외)7~11월 악성코드피해 건수 비교(바이러스 제외)7~11월 악성코드피해 건수 비교(바이러스 제외)7~11월 악성코드피해 건수 비교(바이러스 제외)

0

100

200

300

400

500

600

700

800

900

웜

트로

이목

마

드롭

퍼

유해

가능

스크

립트

부트

매크

로

애드

웨어

조크

기타

7월

8월

9월

10월

11월

[그림4] 2006 7~11월 악성코드 피해 비교

1

애드웨어 넷츠는 ActiveX로 배포되며 툴바와 BHO설치 및 팝업광고를 수행하며,

2006.11.08.00 이후 엔진의 SpyZero로 진단/삭제가 가능하다.


5

[그림4]는 11월 악성코드 피해 중 바이러스를 제외한 악성코드 피해 건수를 7월부터 비교한

자료이며, 바이럿(Win32/Virut)의 피해로 확인하기 어려운 다른 종류의 악성코드 피해를 확

인하기 위해 조사한 자료이다. 8월 이후 웜의 피해는 지속적으로 감소하고 있으며, 9월 트로

이 목마의 피해가 잠시 증가하였으나 10월 이후 계속 감소하고 있다.

11111111월월월월 악성코드악성코드악성코드악성코드 Top 10 Top 10 Top 10 Top 10 전파방법전파방법전파방법전파방법 별별별별 현황현황현황현황

[표1]의 악성코드 피해 Top 10에서 확인된 악성코드의 전파방법을 살펴보면 [그림5]와 같

다.

11월 악성코드 Top 10의 전파방법 별 현황11월 악성코드 Top 10의 전파방법 별 현황11월 악성코드 Top 10의 전파방법 별 현황11월 악성코드 Top 10의 전파방법 별 현황

메일

0.3%

드롭퍼0.1%

바이러스98%

기타

2%

메일

바이러스

드롭퍼

기타

[그림5] 2006년 11월 악성코드 Top 10의 전파방법 별 현황

실행파일을 감염시키는 바이럿으로 인한 바이러스 피해 현황은 98%로 전월 97%에 비해 소

폭 증가한 것으로 확인되어, 바이럿 외의 악성코드 피해는 감소한 것으로 확인되었다.

피해신고피해신고피해신고피해신고 된된된된 악성코드악성코드악성코드악성코드 유형유형유형유형 현황현황현황현황

2006년 11월에 피해신고 된 악성코드의 유형별 현황은 [그림6]와 같다.


6

2006년 11월 악성코드 유형별 현황2006년 11월 악성코드 유형별 현황2006년 11월 악성코드 유형별 현황2006년 11월 악성코드 유형별 현황

기타0.0%

유해가능0.0%

매크로0.0%

트로이목마1.1%

스크립트0.0% 애드웨어

0.0%

조크0.0%

부트0.0%

드롭퍼0.2%

바이러스

98.0%

웜0.7%

웜

트로이목마

바이러스

드롭퍼

유해가능

스크립트

부트

매크로

애드웨어

조크

기타

[그림6] 2006년 10월 피해 신고된 악성코드 유형별 현황

웜& 트로이목마 비율(%)웜& 트로이목마 비율(%)웜& 트로이목마 비율(%)웜& 트로이목마 비율(%)

46

69

4346

65

40

41 1 0.7

33

20

53

23

43

3 2 1 1

106 5 6

1 37

9296 97 98

47

4742

0

10

20

30

40

50

60

70

80

90

100

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

웜

트로이목마

바이러스

%

[그림7] 2006년 월별 웜, 트로이목마 피해신고 비율

월별월별월별월별 피해신고피해신고피해신고피해신고 된된된된 악성코드악성코드악성코드악성코드 종류종류종류종류 현황현황현황현황


7

11월에 피해 신고된 악성코드 수는 829개로, 이는 전년도 동월보다 2배 이상, 전월보다 소

폭 증가한 수치이다.

월별 피해 신고 악성코드 종류월별 피해 신고 악성코드 종류월별 피해 신고 악성코드 종류월별 피해 신고 악성코드 종류

422

282

376419 439

283359

526

985

804 829

523 506 490 462 468

557

447499

454387

418

0

200

400

600

800

1000

1200

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

2006년

2005년

[그림8] 2005년, 2006년 월별 피해신고 악성코드 종류 개수


8

국내국내국내국내 신종신종신종신종((((변형변형변형변형) ) ) ) 악성코드악성코드악성코드악성코드 발견발견발견발견 피해피해피해피해 통계통계통계통계

11월 한달 동안 접수된 신종 (변형) 악성코드의 건수는 [표2], [그림9]와 같다.

웜웜웜웜 트로이트로이트로이트로이 드롭퍼드롭퍼드롭퍼드롭퍼 스크립트스크립트스크립트스크립트 파일파일파일파일 매크로매크로매크로매크로 부트부트부트부트 부트부트부트부트////파일파일파일파일 유해가능유해가능유해가능유해가능 비윈도우비윈도우비윈도우비윈도우 합계합계합계합계

139 435 96 5 6 0 0 0 12 0 693

[표2] 2006년 11월 유형별 신종 (변형) 악성코드 발견현황

11월은 전월과 달리 전체 신종(변형) 악성코드가 23% 증가하였는데, 그 중 웜과 트로이목마

의 수가 전월과 비교하여 각각 17%, 37% 증가하였다. 특히 웜의 경우 스트레이션 웜

(Win32/Stration.worm) 변형의 증가가 한 원인이다. 트로이목마의 경우는 애드웨어를 다운

로드하거나 업데이트 하는 애드로드(Win-Trojan/Adload), 호르스트(Win-Trojan/Horst), 스

팸봇(Win-Trojan/SpamBot), 즈롭(Win-Trojan/Zlob) 등이 지난달보다 증가하였는데, 특히

지난달에도 언급한 호르스트와 스팸봇 트로이목마의 증가세가 뚜렷하였다.

11월 신종(변형) 악성코드 유형11월 신종(변형) 악성코드 유형11월 신종(변형) 악성코드 유형11월 신종(변형) 악성코드 유형

62%

5%

14%

2%1% 1%

15%

트로이목마

웜(Mail)

드롭퍼

웜(IRC)

유해가능

파일 (바이러스)

스크립트

[그림9] 11월 신종(변형) 악성코드 유형

지난달에도 소개되었던 호르스트 트로이목마의 전파방법을 잠깐 살펴보면, 이 트로이목마가

실행되면 로컬 서브넷에 ICMP 패킷을 보내어 응답이 오는 시스템 중 쓰기권한을 보유한 공

유폴더가 확인되면 해당 폴더에 자신의 복사하는 방식이다. 따라서 이와 같은 방식으로 내

부 네트워크로 확산된 것으로 판단된다.

최근 들어 공유폴더로 자신의 복사본을 만들어 두거나 공유폴더 내 실행파일을 감염시키는

사례가 늘어나고 있다. 공유폴더를 노리는 가장 큰 이유는 내부적으로 확산시키려는 목적이

크다. 한편으로는 요즘처럼 보안패치가 잘 되어 있거나 관련 솔루션이 늘어남에 따라서 악성

코드가 외부로부터 유입되는 경로가 점차 줄어들고 있기 때문이기도 하다.


9

다음은 중국 발 웹 해킹의 주목적이기도 하며, 많은 변형이 발견, 보고되고 있는 온라인 게

임의 사용자 계정을 탈취하는 악성코드에 대한 2006년도 월 발견 건수에 대한 그래프이다.

2006년 온라인 게임 사용자 계정 탈취 트로이목마 추세2006년 온라인 게임 사용자 계정 탈취 트로이목마 추세2006년 온라인 게임 사용자 계정 탈취 트로이목마 추세2006년 온라인 게임 사용자 계정 탈취 트로이목마 추세

50

26

4843

51

37

57

97

182172

156

0

20

40

60

80

100

120

140

160

180

200

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

[그림10] 온라인 게임 사용자 계정 탈취 트로이목마 현황

최근 3개월 들어 온라인 게임 사용자 계정을 탈취하는 트로이목마 수가 조금씩 감소고 있다.

그 이유를 현재로써 명확히 알 수 없지만 최근 해당 트로이목마가 타켓으로 하는 온라인 게

임들의 보안 솔루션 도입 및 강화가 서서히 빛을 내고 있는 게 아닌가 추정해 본다. 먼저 올

해 전반기까지는 상대적으로 유명한 온라인 게임들이 트로이목마의 타켓이 되었던 반면 최

근에는 해당 온라인 게임들은 보안 솔루션이 도입, 보안이 강화 되면서 점점 보기 힘들어 졌

다. 그 대신 보안 솔루션이 약하면서도 인지도 있는 온라인 게임의 경우가 새로운 타켓이 된

것이 요즘 동향이라 할 수 있다.

현재 온라인 게임의 사용자 계정의 탈취를 노리는 트로이목마는 서서히 그 대상도 그리고

바이너리의 형태 및 설계도 조금씩 달라지고 있는 것으로 보인다. 즉, 근래 들어 오히려 실

행압축을 하지 않거나 기존 델파이 언어로 제작되던 형태가 VC++ 로 제작되는 등의 변화

를 보이고 있다.


10

((((2222)))) 11111111월월월월 스파이웨어스파이웨어스파이웨어스파이웨어 통계통계통계통계

순위 스파이웨어 명 건수 비율

1 - Win-Spyware/PWS.Lineage 4 6%

2 New Win-Spyware/PWS.R2.10240 3 5%

3 New Win-Spyware/PWS.Lineage.8192.B 2 3%

4 New Win-Downloader/Xema.20454 2 3%

5 New Win-Adware/Rogue.VccKorea.187392 2 3%

6 New Win-Adware/CashSaver.Taski 2 3%

7 New Win-Spyware/PWS.Lineage.60416 1 2%


9 New Win-Spyware/PWS.Lineage.45056.M 1 2%


기타 45 69%

합계 100

[표1] 2006년 11월 스파이웨어 피해 Top 10

11월 스파이웨어 피해 Top 1011월 스파이웨어 피해 Top 1011월 스파이웨어 피해 Top 1011월 스파이웨어 피해 Top 10

6%5%

3%

3%

3%

3%

2%2%2%2%

69%

Win-Spyware/PWS.Lineage

Win-Spyware/PWS.R2.10240

Win-Spyware/PWS.Lineage.8192.B

Win-Downloader/Xema.20454

Win-Adware/Rogue.VccKorea.187392

Win-Adware/CashSaver.Taski

Win-Spyware/PWS.Lineage.60416


Win-Spyware/PWS.Lineage.45056.M


기타

[그림1] 2006년 11월 스파이웨어 피해 Top 10

중국발 해킹에 의한 웹 사이트 변조와 이를 이용한 온라인 게임 계정 유출 스파이웨어 배포

도 10월에 이어 꾸준하게 발견되고 있다. 11월 스파이웨어 피해 Top 10의 3위에서 5위를

제외한 7개 항목이 이들 온라인 게임 계정 유출 스파이웨어임을 확인할 수 있는데, 이는 11

월에 언론사 홈페이지, 온라인 쇼핑몰 등 일일 방문자 수가 많은 웹 사이트가 해킹으로 변조


11

되고 스파이웨어가 배포되었기 때문으로 풀이된다.

11111111월월월월 스파이웨어스파이웨어스파이웨어스파이웨어 발견발견발견발견 현황현황현황현황

11월 한달 동안 접수된 신종(변형) 스파이웨어 발견 건수는 [표2], [그림2]와 같다.

스파이웨어류스파이웨어류스파이웨어류스파이웨어류 애드웨어애드웨어애드웨어애드웨어 드롭퍼드롭퍼드롭퍼드롭퍼 다운로더다운로더다운로더다운로더 다이얼러다이얼러다이얼러다이얼러 클리커클리커클리커클리커 익스플로잇익스플로잇익스플로잇익스플로잇 AppCareAppCareAppCareAppCare JokeJokeJokeJoke 합계합계합계합계

243 304 68 170 0 56 14 1 1 857

[표2] 2006년 11월 유형별 신종(변형) 스파이웨어 발견 현황

2006년 11월 발견된 스파이웨어2006년 11월 발견된 스파이웨어2006년 11월 발견된 스파이웨어2006년 11월 발견된 스파이웨어

28%

35%

8%

20%

7%

0%

2% 0%0%

스파이웨어류

애드웨어

드롭퍼

다운로더

다이얼러

클리커

익스플로잇

AppCare

조크

[그림2] 2006년 11월 발견된 스파이웨어 프로그램 비율

11월 발견된 스파이웨어의 특징은 애드웨어의 비율이 약 35%로 가장 높은 비율을 보이고

있는 것이다. 애드웨어의 비율이 증가한 원인으로는 국내 애드웨어 제작이 9월에서 11월 사

이에 크게 증가하였으며, 국내 허위 안티 스파이웨어 프로그램 발견이 늘어났기 때문인 것으

로 풀이된다. 11월에 발견된 애드웨어는 국내 허위 안티 스파이웨어 프로그램의 번들로 설치

되는 것이 많았으며, 국내 허위 안티 스파이웨어 프로그램은 불특정 웹사이트에서 ActiveX

방식으로 배포된다.

11월에 발견된 애드웨어 넷츠(Win-Adware/NetS)는 실행파일을 감염시키는 바이럿 바이러

스에 감염된 채 배포되어 악성코드 감염 피해도 입혔다.


12

((((3333)))) 11111111월월월월 시큐리티시큐리티시큐리티시큐리티 통계통계통계통계

11월에는 마이크로소프트사로부터 총 6건의 정기 보안 패치가 발표되었다.

- 긴급긴급긴급긴급: MS06: MS06: MS06: MS06----071, MS06071, MS06071, MS06071, MS06----070, MS06070, MS06070, MS06070, MS06----069, MS06069, MS06069, MS06069, MS06----068, M068, M068, M068, MS06S06S06S06----067067067067

- 중요중요중요중요: MS06: MS06: MS06: MS06----066066066066

지난 10월에 발표된 정기 보안 패치 10건과 비교하여 전체적인 수치는 감소하였으나 발표

된 모든 패치가 위험도가 높은 ‘긴급’과 ‘중요’ 라는 점에서 주목할 필요가 있다. 지난 2월부

터 꾸준히 포함되어 10월에 4건이나 포함 된 오피스 관련 패치는 이번 달에 발표되지 않았

으나, 지속적으로 발견되는 인터넷 익스플로러 관련 취약점 패치는 패치대상 기준으로는 1건

이지만, 공격 활용 기준으로는 4건이나 포함되어 있다.

2006년 1월부터 11월까지 발표된 MS사의 보안 패치 현황은 [그림1]과 같다.

패치대상 기준 2006년 MS 보안 패치 분류 현황패치대상 기준 2006년 MS 보안 패치 분류 현황패치대상 기준 2006년 MS 보안 패치 분류 현황패치대상 기준 2006년 MS 보안 패치 분류 현황

0

2

4

6

8

10

12

14

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

패치

갯수

시스템

IE

오피스

어플리케이션

서버

총수

[그림1] 2006년 발표된 패치대상 별 MS의 보안패치 분류 현황


13

공격대상 기준 2006년 MS 보안 패치 분류 현황공격대상 기준 2006년 MS 보안 패치 분류 현황공격대상 기준 2006년 MS 보안 패치 분류 현황공격대상 기준 2006년 MS 보안 패치 분류 현황

0

2

4

6

8

10

12

14

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월

패치

갯수

시스템

IE

오피스

어플리케이션

서버

총수

[그림2] 2006년 발표된 공격대상 별 MS 보안패치 분류 현황(실제 공격활용 기준)

이 달에 발표된 인터넷 익스플로러 관련 MS XML 코어 서비스 취약점(MS06-071)은 11월

초에 그 공격코드가 공개된 제로데이 공격이었으나, 해당 패치가 바로 11월 정기 보안 패치

에 포함되어 있어서 그 활용은 크지 않았던 것으로 생각된다.

또한, 워크스테이션 서비스 취약점(MS06-070)은 워크스테이션 서비스가 윈도우 시스템의

디폴트 서비스로 동작하기 때문에 그 피해가 클 것으로 예상 되었으나, 도메인 구성이라는

특수한 환경과 공격 대상 시스템으로부터 접근 가능한 하나의 시스템을 공격에 이용해야 하

는 제약으로 인하여 이 또한 확산은 크지 않을 것으로 예상된다.

오피스 관련 취약점들은 그 구조나 정보가 공개되어 있지 않기 때문에 취약점을 발견하거나

이용하기가 다소 어려울 수 있다. 그러나, [그림1], [그림2]를 통해서 알 수 있듯이 지속적으

로 인터넷 익스플로러 관련 취약점들이 발견되는 것은 비교적 공개된 많은 정보와 손쉽게

응용할 수 있기 때문일 것이다. 따라서, ActiveX 컨트롤 및 여러가지 보안성이 강화된 IE

7.0이 보편화되기 전까지는 인터넷 익스플로러 관련 취약점들은 꾸준히 발표될 것으로 예상

된다.


14

IIIIIIII.... ASEC Monthly Trend & IssueASEC Monthly Trend & IssueASEC Monthly Trend & IssueASEC Monthly Trend & Issue

((((1111)))) 악성코드악성코드악성코드악성코드 –––– 복합적인복합적인복합적인복합적인 악성코드악성코드악성코드악성코드 Win32/Glowa.worm Win32/Glowa.worm Win32/Glowa.worm Win32/Glowa.worm

복합적인 악성코드의 얘기는 오래 되었지만 이번 달에도 웜, 바이러스, 트로이목마 증상을

모두 갖고 있는 글로아 웜(Win32/Glowa.worm)이 보고 되었다. 이 웜이 보내는 메일내용은

국제적인 이슈가 짙은 내용이 대부분이라서 더욱 관심을 끌게 되었다. 그리고 실행 파일을

감염시키는 증상도 특이하고 웜 자신의 파일과 프로세스를 은폐 시키는 등의 복합적인 증상

을 가지고 있다. 또한 이번 달에 이슈가 되었던 동영상 코덱을 이용하여 악성코드를 유포하

는 사건이 국외에서 있었고 앞으로 동영상과 같은 미디어를 이용하여 악성코드를 유포하는

사례가 일반화 될 수 있다는 점에서 주의가 요구된다.

► 복합적인복합적인복합적인복합적인 증상을증상을증상을증상을 갖는갖는갖는갖는 –––– 글로아글로아글로아글로아 웜웜웜웜((((Win32/Glowa.wormWin32/Glowa.wormWin32/Glowa.wormWin32/Glowa.worm))))

글로아 웜은 메일을 발송하는 증상, 실행 파일을 감염시키는 증상 (단, 감염된 파일은 감염

되지 않은 다른 파일을 감염 시키는 것이 아님), 특정 안티 바이러스 및 보안 프로그램을 종

료하는 증상을 가지고 있다. 웜이 보내는 메일의 내용은 국제적인 이슈가 있는 핵 미사일 그

리고 특정 국가 대통령 사망설 등의 내용을 담고 있다. 은폐기능의 증상도 있어 웜 자신의

파일과 프로세스는 은폐 된다. 그리고 실행 파일을 감염시키는데, 감염된 실행파일은 웜이

만들어낸 특정 파일을 실행하도록 하는 코드를 가지고 있다. 즉, 다른 실행파일을 감염시키

는 증상이 있지는 않고 웜이 만들어낸 트로이목마를 실행하는 역할을 갖는 것이다. 그리고

잘 알려진 압축 파일 내에 트로이목마 증상이 있는 파일을 숨겨두기도 한다. 이 과정에서 원

본 압축 파일이 손상 되기도 한다.

►►►► 동영상을동영상을동영상을동영상을 노리는노리는노리는노리는 악성코드악성코드악성코드악성코드

향후 UCC (User Created Contents) 열풍에 힘입어 동영상과 같은 미디어가 악성코드 제작

자들의 주요한 공격목표가 될 것이라는 것은 이제는 가까운 미래에 일어날 이슈로 정설이

되어 버렸다. 이번 달에도 국외에는 동영상 재생에 필요한 코덱에 악의적인 코드나 URL을

삽입하여 스파이웨어나 악성코드를 다운로드 하는 사례가 보고 되었다. 특히 이것은 보편적

으로 차지하고 있는 윈도우 미디어 플레이어를 넘어서 또다른 미디어 재생기인 리얼 미디어

의 파일 역시 타켓이 되었다. 악성코드 제작자들이 제일 많이 이용하는 공격방법은 동영상

내 악의적인 URL을 삽입한 후 미디어 플레이어에서 해당 URL을 오픈하도록 유도한다.

웹 브라우저가 이를 넘겨 받아 처리하는 과정에서 ActiveX를 이용하거나 취약점을 이용하여

악의적인 파일을 다운로드 받도록 유도 할 수 있다. 그래서 최근 특정 미디어 플레이어는 동

영상 내 URL을 실행하지 않도록 기본옵션 처리를 하는 등 악의적인 파일이 실행되지 않도

록 매우 신경 쓰고 있다.

가장 대중적인 것은 항상 위험에 노출되어 있다. 사용자가 많고 편의를 위한 개발 및 편집

도구 그리고 이를 업로드 할 수 있는 다양한 공간 등이 현재 많이 제공 되기도 한다. 또한


15

흥미로운 동영상 링크는 삽시간에 지구 반대편까지 퍼져 날 수 있다. 이는 다른 말로 악성코

드 제작자가 힘들여 전파하지 않아도 된다는 뜻이다. 그러나 사용자들은 동영상을 재생 할

때 현재 그리고 미래에도 악성코드에 대한 감염의 우려보다는 동영상이 주는 즐거움에 빠져

서 이러한 부분을 간과 할 수도 있을 것이다. 그러므로 악성코드 제작자들이 노리는 동영상

공유 사이트와 동영상은 가까운 미래에 잠재적인 위험성이 크다고 하겠다.


16

((((2222)))) 스파이웨어스파이웨어스파이웨어스파이웨어 –––– 은폐형은폐형은폐형은폐형 허위허위허위허위 안티안티안티안티 스파이웨어스파이웨어스파이웨어스파이웨어

과거 국내 허위 안티 스파이웨어들은 프로그램의 제거를 막기 위해 주로 정상 프로그램과

유사한 이름을 가진 파일을 시작 프로그램으로 등록시켜 사용자를 속이고, 프로그램이 제거

되더라도 이 파일에 의해 다시 설치되도록 하는 방법을 사용하였다. 하지만 11월에 발견된

허위 안티 스파웨어에 프로그램에는 이와는 다른 은폐 기법이 사용된 것을 확인하였다.

은폐 기법을 사용하는 허위 안티 스파이웨어는 윈도우 API를 후킹하는 드라이버를 등록하여

프로그램의 중요 파일과 레지스트리 정보를 숨긴다. 이렇게 숨겨진 파일과 레지스트리는 일

반적인 방법으로는 찾을 수 없으며 특별한 툴을 이용하거나 해당 드라이버가 동작하지 않는

안전모드로 부팅한 상태에서만 확인할 수 있다. [그림1]은 정상모드와 안전모드로 부팅했을

때의 ‘C:\Program Files’ 폴더의 하위 폴더 목록이며 좌측이 정상모드이고 우측이 안전모드

이다. 안전모드로 부팅하였을 때 정상모드와 달리 한 개의 폴더가 더 존재한다.

[그림1] 은폐 기법이 사용되어 보이지 않는 파일


17

[[[[그림그림그림그림2222] HKLM] HKLM] HKLM] HKLM\\\\SOFTWARESOFTWARESOFTWARESOFTWARE\\\\MicrosoftMicrosoftMicrosoftMicrosoft\\\\WindowsWindowsWindowsWindows\\\\CurrentVersionCurrentVersionCurrentVersionCurrentVersion\\\\RunRunRunRun

[그림2]는 윈도우 시작 시 실행되는 프로그램이 기록된 레지스트리 키를 열람한 화면이며

위쪽이 정상모드이고 아래가 안전모드이다. 안전모드로 부팅했을 때는 허위 안티 스파이웨어

프로그램과 은폐 기능을 구동하는 파일이 등록된 것을 확인할 수 있다.

[그림3]은 은폐 기법을 이용하여 숨겨진 파일이나 레지스트리 정보를 보여주는 프로그램을

이용하여 확인한 화면이다. 허위 안티 스파이웨어 프로그램의 폴더 전체와 은폐 기능을 구동

하는 프로그램의 전체 파일 및 레지스트리가 모두 숨겨진 것이 확인된다.


18

[그림3] 은폐 기법으로 숨겨진 파일과 레지스트리

은폐 기능을 중지하기 위해서는 윈도우 API를 후킹하는 드라이버의 동작을 중지하여야만 한

다. 그러나 중지를 시도하자 [그림4]와 같이 오류 메시지를 출력하며 제거되지 않는다. 드라

이버를 제거하기 위해서는 안전모드로 부팅하여 수동으로 제거하여야만 한다.


19

[그림4] 드라이버 중지 실패 화면

제어판의 ‘프로그램 추가/제거’를 이용하여 허위 안티 스파이웨어를 삭제하려고 하면 [그림

5]와 같은 창이 뜨며 사용자에게 답을 요구한다. 요즘 포털 사이트나 카페 등에서 게시판에

광고를 목적으로 자동 가입 프로그램을 이용한 가입을 막는 방법과 유사한 방법이 사용되었

는데 이 것은 사용자가 아닌 다른 프로그램에 의해 삭제되는 것을 막기 위함이다.


20

[그림5] 제어판의 ‘프로그램 추가/제거’를 이용한 프로그램 제거 화면

그러나 ‘프로그램 추가/삭제’를 이용해서 문제의 정답을 입력하고 프로그램을 제거하더라도

드라이버는 제거되지 않은 채 여전히 특정 파일과 레지스트리를 숨기고 있었다.

좋은 목적을 갖고 있더라도 그 방법이 불순해서는 안된다. 안티 스파이웨어는 이름 그대로

스파이웨어를 제거하거나 차단하여 사용자의 권리를 보호하는 프로그램을 의미한다. 그러나

이러한 안티 스파이웨어가 스파이웨어와 동일한 방식으로 동작하여 사용자의 권리를 침해하

는 행위를 한다면 더 이상 안티 스파이웨어가 아닌 스파이웨어로 분류되는 것이 마땅하다.

특히나 안티 스파이웨어는 단순 영리 추구보다는 도덕성을 바탕으로 한 공익 추구가 주된

목적이 되어야 한다. 인터넷이 보편화 되면서 각종 애드웨어와 스파이웨어가 난무하는 현재,

프로그램 제작자들의 의식 개선이 절실하다.


21

((((3333)))) 시큐리티시큐리티시큐리티시큐리티 –––– Heap Spraying Heap Spraying Heap Spraying Heap Spraying 기법을기법을기법을기법을 사용한사용한사용한사용한 IE IE IE IE 공격코드의공격코드의공격코드의공격코드의 지속적지속적지속적지속적 등장등장등장등장

2006년에 발표되고 있는 다수의 취약점들은 인터넷 익스플로러를 공격의 매개체로 사용하고

있다. 이번 11월에도 어김없이 인터넷 익스플로러를 통하여 공격 가능한 MS XML 코어 서

비스 취약점(MS06-071) 공격 코드가 발표되었다. 지속적으로 공개되고 있는 인터넷 익스플

로러 관련 공격코드는 그 대상이 되는 ActiveX 컨트롤만 다를 뿐 그 형태가 매우 유사하며

원리 자체가 비교적 간단하다는 특징을 갖는다. 따라서, 앞으로 새롭게 발표되는 인터넷 익

스플로러 관련 공격코드 또한 이러한 특징을 크게 벗어나지 않을 것으로 예상된다.

이번 11월 보고서에는 이 달에 발표된 MS 보안패치 중 원격으로 공격이 가능한 대표적인

취약점들과 앞서 언급한 인터넷 익스플로러 공격 기술 중 Heap Spraying(힙 스프레잉) 기법

이 사용된 MS XML 코어 서비스 취약점, MS06-070 워크스테이션 취약점에 대해서 좀 더

자세히 알아보도록 하자.

11111111월에월에월에월에 발표된발표된발표된발표된 원격원격원격원격 공격공격공격공격 가능가능가능가능 MS MS MS MS 취약점취약점취약점취약점

11월에 발표된 MS사의 정기 보안 패치는 총 6건으로 이 중 MS06-067, MS06-070,

MS06-071 취약점들은 원격으로 공격이 가능하며, 실제 PoC(개념증명코드)가 공개되어 있

다. 따라서, 반드시 패치를 적용하여 이 취약점으로 인한 침해사고를 예방하도록 하자.

위험위험위험위험

등급등급등급등급 취취취취약점약점약점약점

개념증개념증개념증개념증

명코드명코드명코드명코드

긴급

MS XML MS XML MS XML MS XML 코어코어코어코어 서비스서비스서비스서비스 취약점취약점취약점취약점(MS06(MS06(MS06(MS06----071)071)071)071)은 MS XML 코어 서비스4.0의 일

부인 XMLHTTP 4.0 ActiveX 컨트롤의 'setRequestHeader' 메쏘드 처리

과정에서 발생하는 취약점이다. 해당 취약점은 XMLHTTP (XML HTTP)

ActiveX 컨트롤을 내포하는 악의적인 웹 페이지를 통해 공격이 이루어지

며, 성공할 경우 원격으로 임의의 코드를 실행할 수 있다.

유

긴급

워크스테이션워크스테이션워크스테이션워크스테이션 서비스서비스서비스서비스 메모리메모리메모리메모리 오오오오류류류류 취약점취약점취약점취약점(MS06(MS06(MS06(MS06----070)070)070)070)은 MS Windows 시스

템의 워크스테이션 서비스(wkssvc.dll) 상에서 동작하는

NetpManageIPCConnect() 함수 상에서 발생하는 스택 기반의 버퍼 오버플

로우 취약점이다. 해당 취약점은 긴 호스트명을 갖는 악의적인

NetrJoinDomain2 RPC 메시지를 통해서 공격이 이루어지며, 성공할 경우

원격으로 임의의 코드 실행이 가능하다.

유

긴급

DirectAnimation ActiveX DirectAnimation ActiveX DirectAnimation ActiveX DirectAnimation ActiveX 컨트롤컨트롤컨트롤컨트롤 메모리메모리메모리메모리 오류오류오류오류 취약점취약점취약점취약점(MS06(MS06(MS06(MS06----067)067)067)067)은

DirectAnimation(daxctle.ocx) 컨트롤의 KeyFrame(), Spline() 메쏘드 처

리 과정에서 발생하는 힙 기반의 버퍼 오버플로우 취약점이다. 해당 취약점

은 유효하지 않은 파라미터 값을 갖는 KeyFrame(), Spline() 메쏘드가 내

포된 웹 페이지를 통해 공격이 이루어지며, 성공할 경우 원격으로 임의의

코드를 실행할 수 있다.

유


22

Heap Spraying (Heap Spraying (Heap Spraying (Heap Spraying (힙힙힙힙 스프레잉스프레잉스프레잉스프레잉) ) ) ) 기법을기법을기법을기법을 사용한사용한사용한사용한 IE IE IE IE 취약점취약점취약점취약점 공격코드공격코드공격코드공격코드 지속적지속적지속적지속적 등장등장등장등장

웹 브라우저(IE, Firefox 등)를 이용한 취약점 공격에 가장 널리 애용되고 있는 기술이 바로

‘SkyLined’ 라는 해커를 통해 소개된 “Heap Spraying(힙 스프레잉)” 기법이다. 2006년 발표

된 대부분의 인터넷 익스플로러 관련 공격 코드들1 속에서 이 기법은 쉽게 찾아볼 수 있으며,

Windows XP SP2 공격에도 사용되기도 한다. 이 달에 새롭게 발표된 MS XML 코어 서비스

(MS XMLHTTP) 취약점 공격코드 속에서도 마찬가지로 이 기술이 사용되었다.

일반적으로 메모리 오류 취약점은 애플리케이션이 정상적인 코드 섹션이 아닌 부적절한 메

모리(Invalid Memory) 지점을 참조하는 데서 발생한다. 애플리케이션에 의해 호출(CALL)

되거나 점프(JMP)하는 부적절한 메모리 지점이 참조 가능한 메모리 공간으로 바뀌도록 적절

한 Heap을 삽입하는 것이 바로 ‘Heap Spraying’ 기술의 원리이다. 이 때, 애플리케이션이

참조하려는 부적절한 메모리 지점은 주소 공간 중 PEB, TEB, DLL Virtual Address 등과

0x7fffffff 주소 상위의 커널 주소를 제외한 사용자가 동적으로 할당할 수 있는 Heap 영역이

어야 한다는 제한이 존재한다.

보통 애플리케이션의 Heap을 자유롭게 제어하는 것은 어려우나, 웹 브라우저의 경우 자바스

크립트(JavaScript)를 통해서 Heap을 원하는 만큼 삽입하는 것이 가능하다. 따라서, 공격자

들은 웹 브라우저를 매개로 하는 공격 코드 속에서 자바스크립트를 통해 의 형태를 갖는 Heap을 삽입하여 프로그램이 공격자의 의도대로 오류 없이 흐름

을 변경하도록 만들 수 있다.2

아래 코드는 MS XML 코어 서비스 취약점을 공격하는 PoC(개념 증명 코드)의 일부분이다.

[그림1] MS XML 공격코드

정상적인 함수 호출의 경우, 아래와 같이 올바른 ‘vftable’의 위치(0x69b22238)를 얻어와

1 IE_WebViewFolderIcon 취약점(MS06-057), IE_CreateTextRange 취약점(MS06-013),

IE_VML 취약점(MS06-055), IE_DirectAnimation 취약점(MS06-067) 2 sf-freedom.blogspot.com


23

set_RequestHeader 함수를 호출하도록 되어 있다.

msxml4!XMLHttp::setRequestHeader+0x32:

msxml4!XMLHttp::setRequestHeader+0x3a:

[그림2] 정상적인 setRequestHeader() 함수 호출

그러나, 위의 공격 코드를 실행시켜보면 ‘vftable’ 주소 값 대신 EAX 레지스터에

0x002e002e 값이 채워지고, set_RequestHeader 함수의 호출 지점을 가리키는

[EAX+0x18] 값이 0x08040000 가 된다.

[그림3] 비정상적인 함수 호출

현재 0x08040000 메모리는 참조가 부적절한 메모리 주소 지점으로 CALL 명령어 수행 시

Access Violation 오류가 발생하게 된다.

여기서 한 가지 주목할 점은 첫 번째 obj.setRequestHeader() 함수에 넘겨지는 두 번째 매

개변수 값인 ‘..(0x2e, 0x2e)’ 값이 문제의 지점인 EAX(0x002e002e) 레지스터를 채운다는

것이다. 실제로 이 매개변수 값을 변경해보면 이 값에 따라 EAX 레지스터 값과 CALL 명령

이 호출하는 지점이 달라지는 것을 확인할 수 있다. 따라서, 우리는 이 매개변수 값을 조정

하여 마음대로 EAX, EIP 값을 제어할 수 있다는 것을 알 수 있다.

이제 앞서 설명한 ‘Heap Spraying’ 기술대로 아래와 같이 자바스크립트를 사용하여

setRequestHeader () 함수를 호출하기 전에 로 조합된 다수의 Heap을

삽입한다.


24

[그림4] Heap 삽입을 위한 자바스크립트 코드

참조 불가능한 메모리 공간이었던 0x08040000 지점이 참조 가능한 메모리 공간으로 변경

되었다.

Heap 삽입 전 Heap 삽입 후

[그림5] Heap 삽입 후 메모리 변화

0x08040000 지점으로 점프한 프로그램은 오류 없이 수많은 NOP 명령을 수행한 후, 삽입

된 Shellcode를 만나서 드디어 공격자의 공격코드를 수행하게 되는 것이다.

모든 윈도우 버전에는 디폴트로 해당 취약점에 영향을 받는 MS XML 코어 서비스 4.0 및

6.0이 설치되어 있지 않기 때문에 그 피해가 크지 않을 것으로 예상되나, 추가 소프트웨어나

사용자 목적에 따라 설치된 경우 반드시 패치를 적용하여야 한다.

워크스테이션워크스테이션워크스테이션워크스테이션 서비스서비스서비스서비스 메모리메모리메모리메모리 취약점취약점취약점취약점(MS06(MS06(MS06(MS06----070070070070) ) ) ) 분석분석분석분석

윈도우 시스템에서는 특정 컴퓨터를 로컬 또는 원격으로 해당 워크그룹이나 도메인에 등록

(Join)하기 위해서 워크스테이션 서비스(wkssvc) 상에서 동작하는 NetrJoinDomain2 RPC

메시지를 이용한다. 실제로 이를 구현하기 위한 Windows API가 아래 NetJoinDomain() 함

수이다.

NET_API_STATUS NetJoinDomain(

Invalid Memory

Valid Memory


25

LPCWSTR lpServer,

LPCWSTR lpDomain,

LPCWSTR lpAccountOU,

LPCWSTR lpAccount,

LPCWSTR lpPassword,

DWORD fJoinOptions

); [그림6] NetJoinDomain() 함수 구조

사용자는 첫 번째 인자 lpServer를 통해 이 함수를 호출하는 컴퓨터의 DNS 또는 NetBIOS

명을 지정하고, 두 번째 인자 lpDomain을 통해 등록되고자 하는 도메인 또는 워크그룹을 지

정한다. 이 때, 옵션으로 등록을 수행할 우선의 도메인 컨트롤러(DC)를 지정하기 위해서

‘DomainName1\MachineName

2’ 형태의 문자열을 넘겨줄 수도 있다.

스택 기반 버퍼 오버플로우 취약점들은 데이터를 사용하기 전에 함수에 전달되는 인자 값을

올바르게 검사하지 않기 때문에 발생한다. 그러나, 여전히 각종 애플리케이션들에 관련된 스

택 기반의 버퍼 오버플로우 취약점이 발견되는 것으로 보아 개발자들의 마인드 속에 안전한

프로그래밍은 아직도 자리잡지 못한 모양이다.

해당 취약점 또한 일반적인 스택 기반 버퍼 오버플로우 취약점과 다르지 않다.

NetJoinDomain() 함수의 하부 처리 과정에서 사용된 ‘swprintf()’ 함수에 넘겨지는 인자가

올바른 유효성 검사를 거치지 않기 때문에 발생하는 스택 버퍼 오버플로우 취약점이다.

NetJoinDomain 함수는 다음과 같은 하부 호출 구조를 갖는다.

NetJoinDomain NetJoinDomain NetJoinDomain NetJoinDomain

� …. (RPC Call)

� NetpJoinDomain

� NetpManagerIPCConnect

� _imp_swprintf_imp_swprintf_imp_swprintf_imp_swprintf [그림7] NetJoinDomain() 하부 호출 구조

이 때, NetJoinDomain 함수의 두 번째 인자로 전달된 ‘DomainName\MachineName’ 문

자열 중 도메인 컨트롤러의 컴퓨터명을 지정하는 ‘MachineName’ 부분이 NetpManageIPC

Connect() 함수의 첫 번째 인자로 전달되고, 다시 입력에 대한 아무런 검사 없이 내부의

1 DomainName은 등록할 도메인명 2 MachineName은 등록을 수행할 도메인 컨트롤러(DC)명


26

swprintf() 함수로 넘겨지게 된다.

실제 공격에 이용된 NetrJoinDomain2 RPC 메시지는 다음과 같은 형태이다.

[그림8] NetrJoinDomain2 RPC 메시지 구조

[그림9] 전체 공격 구성도

연결할 도메인 컨트롤러(DC)의 ‘MachineName’ 필드에 Shellcode를 포함하여 악의적으로

조작된 긴 문자열을 담아 전송함으로써, 이를 받아 처리하는 대상 시스템의 워크스테이션 서

비스에서 장애가 발생하게 된다. 나아가 서비스 장애 뿐 아니라 대상 시스템의 재부팅

(reboot) 및 임의의 코드 실행이 가능하게 된다.

워크스테이션 서비스는 윈도우 시스템에서 디폴트로 동작하는 서비스이기 때문에 해당 취약

점에 대한 잠재 위험도는 높으나, 공격 성공을 위해서 도메인으로 구성된 환경이 필요하기

때문에, 확산도가 매우 높지는 않을 것으로 예상된다. 그러나, 방화벽과 같은 일차 방어선 안

쪽에서 발생할 수 있는 위협을 예방하기 위해서는 반드시 도메인 환경을 사용하는 사용자들

은 패치를 적용할 필요가 있다.


27

IIIIIIIIIIII.... ASECASECASECASEC이이이이 돌아돌아돌아돌아본본본본 추억의추억의추억의추억의 악성코드악성코드악성코드악성코드

최초의최초의최초의최초의 HTML HTML HTML HTML 바이러스바이러스바이러스바이러스????

1998년 11월 최초의 HTML 바이러스가 발견되었다는 소식이 알려졌다. 최초의 HTML 파

일 감염으로 사람들의 관심을 끌었다. HTML/Offline, HTML.Offline 등으로 이름 붙여진 이

바이러스는 이후 VBS/Offline가 옳다는 주장도 나왔다. 왜 이런 주장이 나왔을까?

제작자의 주장처럼 이 바이러스는 HTML 파일을 감염시키지만 HTML 바이러스로 볼 수 없

는 이유는 실제 사용된 언어는 VBS(Visual Basic Script)이기 때문이었다. 즉, HTML에서 지

원하는 태그를 이용해 제작된 바이러스가 아닌 스크립트 언어로 작성되었기 때문이다. 하지

만, 감염 대상이 중요하지 작성 언어가 무엇인지는 중요하지 않다는 주장도 있다.

당시만 해도 VBS는 최신의 윈도우인 윈도우 98 이상에서 지원되는 기능이며 이 바이러스는

로컬에서 사용자가 감염된 HTML 파일을 열어 볼 때 사용자의 동의를 얻어 확장자가 HTM

혹은 HTML 파일에 겹쳐 쓰는 형태로 제작되었다. HTML에 포함된 VB 스크립트나 자바 스

크립트는 원래 로컬 파일에 접근할 수 없지만 시스템의 보안 설정이 낮거나 사용자가 허락

할 경우 시스템 파일에 접근해 악의적인 행동을 할 수 있어 바이러스 제작이 가능했다. 물론

VBS는 마이크로소프트사에서 제작되었으므로 ActiveX 컨트롤에 의존해 실행되므로 윈도우

와 인터넷 익스플로러에서만 실행되는 한계도 존재한다.

1998년 11월만해도 아직 VB 스크립트로 작성된 악성코드의 수는 그리 많지 않았다. 하지만,

윈도우 98의 보급과 이후 윈도우 2000의 보급으로 VB 스크립트를 이용한 악성코드는 증가

하게 된다.

1999년 10월에는 인터넷 익스플로러 5의 보안상 취약점을 이용해 이와 연동된 아웃룩

(Outlook)와 아웃룩 익스프레스(Outlook Express)로 메일을 읽을 때 자동으로 실행되는 버

블보이 웜(VBS/BubbleBoy)1이 발견되었다. 윈도우 악성코드 중 취약점을 이용한 초기 버전

으로 이후 다양한 윈도우와 윈도우 프로그램의 취약점을 이용한 악성코드가 등장하게 된다.

2000년 5월에 발견된 VBS/Love_Letter(러브레터)2의 등장 후 VB 스크립트를 이용한 악성

코드는 최고조에 이르렀다. 이후 마이크로소프트사는 MS 오피스를 통한 메일 발송 기능을

대폭 약화시켜, 이후 VB 스크립트나 MS 오피스의 VBA(Visual Basic for Application)로 작

성된 악성코드는 급속히 감소했다.

1 VBS/BubbleBoy, http://info.ahnlab.com/smart2u/virus_detail_22.html

2 VBS/Love_Letter, http://info.ahnlab.com/smart2u/virus_detail_708.html


28

지난 몇 년간 공룡의 멸종에 비유될 만큼 악성 매크로와 악성 VB 스크립트의 등장, 확산,

멸종은 드라마틱했다. 현재 대부분의 악성코드는 실행 파일 형태인데 악성 스크립트로부터

우리는 안전할까?

최근 마이크로소프트사는 파워 셸(Power Shell)을 발표했다.1 다행히 현재는 윈도우에 기본

적으로 포함하고 있지 않아 이를 악용한 악성코드는 개념증명 수준이지만 이후 파워 셸이

윈도우에 기본 포함 될 경우 새로운 위협이 될 수 있다.

1 http://www.microsoft.com/technet/scriptcenter/topics/msh/download.mspx

Documents

ASEC Report 2006-11 - AhnLabdownload.ahnlab.com/asecReport/ASEC_Report_200611.pdf · 2009. 1. 9. · [그림4] 2006 7~11월 악성코드 피해 비교 1 애드웨어 넷츠는 ActiveX로