1,398 2017-09-21
개요
▶ 출처: 컴퓨터 최적화 프로그램 (2017.09.21)
CCleaner는 Piriform이 만들고 최근 Avast가 인수한 프로그램으로 학교, 학원, 회사 등에서 웹 브라우저, 시스템, 레지스트리 등의 불필요한 파일을 삭제해 하드 용량을 확보하고 시스템을 최적화해 주는 프로그램으로 공식 웹사이트에서 다운로드했거나 업데이트를 통해 8월 15일부터 9월 12일까지 한 달 가량 악성코드가 함께 유포된 것으로 확인되었습니다.
|
동작 방식
· ‘32bit PC’의 ‘관리자 권한’일 경우에만 악성코드 프로세스 실행 · PC에 데이터를 수집하여 C&C 서버로 전송 ▷ 컴퓨터 이름, 설치된 소프트웨어 목록, 실행 중인 프로세스 목록, MAC 주소 등 중요 정보 · 악성 행위 후 CCleaner 정상 작동 |
[악성코드 감염 설치 파일 정보]
1) v5.33.6162 디지털 서명 정보 |
[악성코드 감염 설치 파일 정보]
2) 업데이트 된 v5.34 설치 파일 서명 정보 |
· 악성코드가 포함된 v5.33.6162 설치 파일의 경우에도 유효한 디지털 서명 정보가 서명됨 · 업데이트 된 v5.34 설치 파일의 경우에도 v5.33.6162와 동일한 일련번호 및 유효기간을 가진 디지털 서명 정보가 서명된 것으로 보아서 디지털 서명 정보가 탈취된 것은 아닌 것으로 확인 · 디지털 서명 탈취를 통한 악성코드 유포 시 해당 저작권사의 대응으로 인하여 업데이트 파일에 서명된 디지털 서명 정보에 일련번호 및 유효기간이 변경됨 · 악성코드는 디지털 서명 정보가 서명 되기 이전 설치 파일을 제작하는 과정에서 삽입된 것으로 판단 |
대응 방안
문제가 있는 해당 버전 삭제 후 상위 버전 재설치가 필요하며 PC 권한 통제를 통해 관리자 권한으로 실행되는 프로세스 악성코드 유입의 위험성이 있는 프로세스를 통제할 수 있으며 권한을 낮춰 사용할 경우 악성코드 유입을 낮출 수 있습니다. |
관련 자료