스크린샷 전송·파일삭제 등 명령 수행
17일 하우리는 지난 15일부터 악성코드 유포 도구인 그랜드소프트(GrandSoft) 익스플로잇킷을 이용한 뉴트리노 원격 제어봇 악성코드가 유포돼 이용자들의 주의가 필요하다고 밝혔다.
보안에 취약한 일반 사용자들은 특정 웹사이트에 접속하는 것만으로도 해당 악성코드에 감염될 수 있다. 악성코드에 감염되면 공격자가 마련한 명령제어 서버로 연결을 시도한다. 총 세 개의 명령제어 서버의 주소 중 연결이 가능한 서버를 사용하여 통신을 시작한다.
해당 악성코드는 가상 환경에서는 실행되지 않고 악성코드 분석 도구 등이 실행 중일 떄는 작동하지 않는 등 악성코드 분석과 탐지를 방해하는 기능도 가지고 있다. 실행 시 윈도우 임시폴더에 자기 자신을 숨김파일 형태로 복제·저장한다.
하우리 보안연구센터는 “한동안 사라졌던 ‘뉴트리노’ 원격제어봇 악성코드가 그랜드소프트 익스플로잇킷과 함께 돌아왔다”며 “인터넷 사용자들은 웹브라우저를 최신 버전으로 업데이트하면 감염을 예방할 수 있다”고 밝혔다.
한진주 기자 truepearl@asiae.co.kr
꼭 봐야할 주요뉴스
"'곰돌이 푸' 사진 지우고 가세요"…7월부터 IT기... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>