"원격제어봇 '뉴트리노' 악성코드 유포 주의"

특정 웹사이트 접속만해도 악성코드 감염 가능
스크린샷 전송·파일삭제 등 명령 수행

[아시아경제 한진주 기자] 최신 웹브라우저 취약점을 악용한 '뉴트리노' 원격제어봇 악성코드가 유포되고 있다.

17일 하우리는 지난 15일부터 악성코드 유포 도구인 그랜드소프트(GrandSoft) 익스플로잇킷을 이용한 뉴트리노 원격 제어봇 악성코드가 유포돼 이용자들의 주의가 필요하다고 밝혔다.

보안에 취약한 일반 사용자들은 특정 웹사이트에 접속하는 것만으로도 해당 악성코드에 감염될 수 있다. 악성코드에 감염되면 공격자가 마련한 명령제어 서버로 연결을 시도한다. 총 세 개의 명령제어 서버의 주소 중 연결이 가능한 서버를 사용하여 통신을 시작한다.

원격제어봇 악성코드는 명령제어 서버로부터 명령을 전달 받아 수행한다. 전달받는 명령에는 현재 화면 스크린샷 전송, 추가 악성 명령어 실행, 파일 삭제 등이 포함돼있다. 감염자의 PC가 공격자에 의해 원격제어될 수 있다.

해당 악성코드는 가상 환경에서는 실행되지 않고 악성코드 분석 도구 등이 실행 중일 떄는 작동하지 않는 등 악성코드 분석과 탐지를 방해하는 기능도 가지고 있다. 실행 시 윈도우 임시폴더에 자기 자신을 숨김파일 형태로 복제·저장한다.

하우리 보안연구센터는 “한동안 사라졌던 ‘뉴트리노’ 원격제어봇 악성코드가 그랜드소프트 익스플로잇킷과 함께 돌아왔다”며 “인터넷 사용자들은 웹브라우저를 최신 버전으로 업데이트하면 감염을 예방할 수 있다”고 밝혔다.

한진주 기자 truepearl@asiae.co.kr