6월 25일 일부 정부기관 대상 분산서비스거부(DDoS) 공격용에 사용된 것으로 의심되는 악성파일은 국내 특정 파일공유(웹하드) 사이트 2곳의 설치프로그램 변조를 통해서 유포된 것으로 확인되었다.
 
잉카인터넷 관계자는 “악성파일은 정상적인 웹하드 셋업파일을 변조해 설치 시 악성파일이 함께 설치하도록 압축(SFX RAR)되어 있다. 내부에는 ***Diskup.exe라는 이름의 악성파일이 포함되어 있다”며 “악성파일은 한국시간으로 2013년 06월 24일 오후 08시:04분 경(24/06/2013 11:04:46 UTC)에 만들어져 있다”고 설명했다.
 
◇A 웹하드 업체
웹하드 설치프로그램으로 위장해 숨겨져 있는 악성파일이 실행되면, 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 c.jpg 파일이 다운로드되어 설치된다. 이 파일은 그림파일처럼 위장하고 있지만, 실제로는 실행가능한 EXE 악성파일이다. 더불어 해당 사이트에는 또 다른 악성파일도 숨겨져 있다.
 
c.jpg 파일은 임시폴더(Temp)에 ~***disk.exe 라는 파일로 생성되고 실행된다. 그 이후에 감염 시스템에 실행되어 있는 프로세스 파일 중에 하나의 파일명을 선정하여 악성파일의 복사본을 생성하며, Identities 하위의 폴더명도 감염될 때마다 랜덤하게 다르게 생성된다. 실행 후에 ~***disk.exe 파일은 배치파일 명령을 통해서 스스로 삭제된다.

 
C:Documents and Settings[사용자계정]Application DataIdentities{489181c0-a73e-11de-9470-806d6172696f}
 
config.ini
 svchost.exe (파일명 변수)
explorer.exe (파일명 변수) / 악용된 정상 Tor 파일

 
Tor 방식(https://www.torproject.org/about/overview.html.en)을 이용해서 탐지우회 등을 적용한 부분이 특징이다.
 
C:Documents and Settings[사용자계정]Application Datator 폴더를 생성하고, 각종 설정파일을 등록한다.

 
◇B 웹하드 업체
두번째 웹하드 사이트에서도 설치프로그램이 변조되어 악성파일이 포함되어 유포되었다.

 
잉카인터넷 관계자는 “웹하드 설치 프로그램에 은밀하게 숨겨져 있는 악성파일이 실행되면 국내의 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 d.jpg 파일이 다운로드되어 설치되고 A 웹하드 업체에서 설치된 악성파일과 동일한 방식으로 기능이 수행된다”고 설명했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com