2024-06-19 08:55 (수)
팬택 베가 원격지원 프로그램...Induc 바이러스에 감염
상태바
팬택 베가 원격지원 프로그램...Induc 바이러스에 감염
  • 길민권
  • 승인 2014.04.04 05:41
이 기사를 공유합니다

“국내 백신, 실행 압축 진단 부실함과 Win32/Induc 바이러스에 대한 관용 개선돼야”
휴대폰 제조업체 팬택(Pantech) 서비스 사이트에 게시된 ‘VEGA 원격 지원 프로그램’이 Induc 바이러스에 감염된 상태로 오랜 기간 동안 다운로드가 이루어지고 있는 것으로 나타났다.

Induc 바이러스는 2009년경에 최초 발견되었으며 감염된 델파이(Delphi) 개발 환경을 노리는 것으로 알려져 있다.

 
보안 블로그 ‘울지않는 벌새’(hummingbird.tistory.com)는 지난 1일 블로그를 통해, 문제가 되는 팬택 베가(Pantech Vega) 원격 지원 프로그램 파일<SHA-1 : f4ad2ff3c5042c357825bc4b4f8b6d031a0ab792 - BitDefender : Win32.Induc.A (VT : 27/51)>은 2009년 6월 4일에 서명된 "SoftWindow" 디지털 서명이 포함된 것으로 프로그램 개발 환경이 감염된 상태에서 제작된 것으로 추정된다.
 
해당 프로그램은 설치형 방식이 아니며 파일을 실행할 경우 사용자 임시 폴더에 파일을 해제해 PC31760_WCall.exe 파일 실행을 통해 "Sky-CyberPluszone 콜서버 Ver 3.9.8" 프로그램을 실행하는 구조다.
 
이렇게 실행 압축 해제된 "C:Users(사용자 계정)AppDataLocalTempPC31760_WCall.exe" 파일이 Win32/Induc 바이러스에 감염된 상태로 배포가 이루어지고 있는 것으로 확인되고 있다고 우려했다.
 
흥미로운 점은 A사 백신의 파일 평판 정보를 확인해보면 Win32/Induc 진단명으로 진단이 이루어지고 있지만, 악성 파일로 분류하지 않고 미확정 파일로 표시된다는 점이다.
 
이로 인해 사용자가 베가 원격 지원 프로그램을 다운로드 및 실행하는 과정에서 실시간 검사를 통해 차단이 이루어지지 않고 있다고 전했다.
 
단지 A사 보안 제품을 통해 정밀 검사(수동 검사)를 할 경우에만 "C:Users(사용자 계정)AppDataLocalTempPC31760_WCall.exe" 파일에 대해 Win32/Induc 진단명으로 진단하고 있다.
 
하지만 A사 진단 정책상 Win32/Induc 악성 파일은 치료 기능을 제공하지 않고 있으며, 프로그램에서 제공하는 삭제 기능을 통해 파일을 삭제하라고 안내한다.
 
그렇지만 베가 원격 지원 프로그램은 Setup 방식이 아닌 압축 해제 방식으로 인해 프로그램에서는 삭제 기능을 제공하고 있지 않기 때문에, 사용자가 해당 파일을 찾아서 직접 삭제해야 하는 문제가 발생하고 있다.
 
더욱이 Active Defense 기능을 통해 Win32/Induc 바이러스에 감염된 파일(PC31760_WCall.exe)을 차단 처리(User/Gen.Block)를 하여 삭제를 시도할 경우에도 "치료 불가" 상태로 표시된다.
 
울지않는 벌새는 “국내 백신의 실행 압축(Packer) 진단의 부실함과 Win32/Induc 바이러스에 대한 관용 문제로 인해 불편을 겪는 사용자가 있을 수 있으므로 베가(Vega) 원격 지원 프로그램을 사용한 경우에는 "C:Users(사용자 계정)AppDataLocalTempPC31760_WCall.exe" 파일을 찾아서 직접 삭제하길 권고한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★