랜섬웨어

화면보호기 파일을 이용한 악성코드

3,034    2015-06-03


화면보호기 파일이란?

Windows OS에서 화면 보호기가 실행될 때 사용되는 파일로 SCR 확장자를 가지고 있습니다.


SCR 확장자는 화면 보호기 파일로만 사용되기 때문에 일반 사용자의 경우 상당히 생소한 파일이며 SCR을 실행시켰을 때 이미지나 검은 화면이 바로 PC에 적용되어 보이기 때문에 사용자는 별 의심을 하지 않게 됩니다.

 

이러한 허점을 이용하여 SCR 파일에 악성코드를 심어 놓아 사용자의 정보를 유출하게 됩니다.



ex) 예쁜 화면 보호기.scr



동작원리

인터넷으로 화면보호기 파일을 받았을 경우 파일 실행시 사용자 모르게 exe 파일을 특정 경로에 생성하게 된다.

생성된 파일은 레지스트리 정보를 생성하여 Windows 가 시작될 때마다 생성한 exe 파일은 같이 실행하도록 한다.

실행된 exe 파일은 사용자 모르게 해당 PC의 개인 정보를 외부로 전송하도록 되어 있다.

 

생성된 exe 파일은 백그라운드로 실행되고 있으며 작업관리자에서 확인할 때에는 프로세스 명이 MicroSoft와 관련된 이름으로 되어 있어 사용자가 모르고 봤을 때에는 의심을 피할 수 있다.



ex) M S.exe, mstdo.exe



예방 방법

화면보호기를 이용한 악성코드 예방 방법은 인터넷으로 화면 보호기를 다운로드하기보다는 Windows OS에서 기본 제공하는 화면보호기를 사용하는 것을 권장하며 인터넷으로 받은 화면 보호기는 사용자가 위험성을 인지를 하지 못하는 점을 이용하기 때문에 보안 솔루션 도입이 필요하며 기존 악성코드에서 변형되거나 신종으로 새로운 유형이 나왔을 때에는 보안 솔루션도 무력화 시킬 수 있다.

그렇기 때문에 보안 솔루션은 화이트리스트 기반의 보안 솔루션이 적합하다. 



댓글 : 0