악성코드가 포함된 파일을 유포 중인 게시글. 〈사진-안랩 ASEC 분석팀〉 웹하드를 통해 모네로 코인 마이너 악성코드를 유포하는 사례가 확인됐습니다.
지난 1일 안랩 ASEC 분석팀은 "악성코드가 유포된 경로를 확인한 결과, 특정 웹하드에서 게임 설치 파일로 위장해 업로드된 압축 파일을 확인했다"며 이같이 밝혔습니다.
실제 해당 게시글의 댓글을 보면 사용 중인 백신 프로그램(AntiVirus)에 의해 설치 과정에서 진단이 이루어짐에 따라 이미 내부에 악성코드가 포함돼 있다는 사실을 인지한 사용자들도 다수 존재합니다.
해당 파일을 올린 사용자가 실제 악성코드 제작자인지는 확인할 수 없습니다. 이러한 게임 설치 프로그램의 특성상 토렌트나 특정 웹하드에서 최초로 업로드되면 이후에는 다른 웹하드에서 동일하게 올릴 수 있기 때문입니다.
다운로드한 압축 파일의 압축을 풀면 게임 아이콘을 위장한 'raksasi.exe' 프로그램이 실행됩니다. 하지만 해당 파일은 XMRig 코인 마이너를 설치하는 악성코드이며 실제 게임 프로그램은 raksasi_Data 폴더 안의 Resources 폴더에 존재합니다.
이 악성코드는 매우 간단한 구조로 'c:\Xcrcure\' 경로에 모네로 채굴 악성코드(xmrig.exe), XMRig 설정 파일(config.json), XMRig 런쳐 악성코드(MsDtsServer.exe)를 다운로드합니다.
그리고 시작 폴더에 XMRig 런쳐 악성코드를 실행하는 바로가기를 'NewStartUp.lnk'라는 이름으로 생성해 재부팅한 후 모네로가 동작하도록 합니다.
마지막으로 Resource 폴더에 존재하는 원본 게임 프로그램을 실행해 사용자가 정상적으로 게임이 동작하는 것처럼 보이도록 합니다.
이러한 과정을 통해 설치되는 XMRig는 컴퓨터가 재부팅할 때마다 동일 경로에 존재하는 config.json 파일을 읽어 마이닝을 수행합니다.
ASEC 분석팀은 "국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 주의가 필요하다"면서 "자료 공유 사이트에서 다운한 실행파일은 각별히 주의해야 하며 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다"고 밝혔습니다.