V3 백신을 서비스하는 안랩(Ahnlab)이 최근 사용자 몰래 PC에 가상화폐 채굴프로그램을 설치하는 악성코드를 발견했다며 주의하라고 경고했다.

이번에 유포된 가상화폐 채굴 악성코드는 압축 프로그램 WinRAR을 이용해 다수의 파일 및 폴더를 하나의 실행 파일로 만들어 유포 중이다.

자동 풀림 압축(SFX, Self-Extracting) 기능을 통해 제작된 이 악성코드는 압축 파일 실행 시 자동으로 압축된 파일을 풀어 컴퓨터 내에 옮긴다. 이때 생성되는 폴더는 사용자의 의심을 피할만한 일반 소프트웨어에서 자주 사용하는 경로가 이용된다.

이어 생성된 파일 중 배치 파일(batch file)인 1.bat과 2.bat이 차례로 실행되면서 윈도우 운영 체제 서비스 영역에 등록된 채굴프로그램 폴더와 파일의 속성을 읽기 전용, 시스템, 숨김으로 설정하고, 서비스 등록을 위해 사용된 nssm.exe 파일은 정상 윈도우 파일인 svchost.exe로 위장해 윈도우 운영 체제의 서비스에 등록한다.

이렇게 등록된 Systemss.exe 채굴 프로그램은 서비스의 속성을 확인하면 정상 프로그램 svchost.exe(nssm.exe)으로 보이지만, 레지스트리 편집기에서는 채굴프로그램인 Systmss.exe로 등록되어 있는 것을 확인할 수 있다.

가상화폐 열풍으로 인해 이와 같은 악성 채굴 프로그램도 덩달아 늘어나고 있다. 특히 PC 보유 대수가 많은 PC방은 이런 악성 채굴 프로그램을 배포하는 이들에게 좋은 먹잇감이 될 수 있어 더욱 각별한 주의가 필요하다.

저작권자 © 아이러브PC방 무단전재 및 재배포 금지

관련기사