델파이 개발자를 노린 Induc 바이러스
2009년 8월 19일 Win32/Induc 바이러스가 발견되었습니다.
처음에는 그저그런 바이러스라고 생각했는데 감염 방식을 듣고 개념증명 형태로 생각했는데
각종 자료와 쏟아지는 샘플을 통해 델파이 제작자들에게 널리 퍼져있음을 알 수 있습니다.
[관련자료]
- 에스지어드밴텍 '델파이 개발자, 바이러스 주의' 경고
http://ddaily.co.kr/news/news_view.php?uid=53211
- Delphi 4~7을 감염시키는 바이러스 유행중
http://www.delmadang.com/community/bbs_view.asp?bbsNo=19&bbsCat=0&st=&keyword=&indx=415299&keyword1=&keyword2=&page=1
- W32/Induc-A virus being spread by Delphi software houses
http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/
샘플을 확인해보니 이미 6월에도 이 바이러스는 활동하고 있었습니다.
다른 바이러스와 달리 일반 파일을 감염시키지 않고 델파이 개발자를 대상으로 했서 발견이 늦어 진 것으로 보입니다.
특정 목표를 대상으로 하는 악성코드는 발견되기 힘들다는 사실을 다시 한번 알 수 있습니다.
[새로운 기법 ?!]
Win32/Induc 바이러스가 사용한 방법은 델파이가 설치되어 있으면 sysconst.pas에 소스코드를 삽입하고 dcc32.exe를 이용해 라이브러리 파일을 생성해서 컴파일되는 모든 파일에 바이러스 코드를 포함하게 하는 방법입니다.
이런 방법이 이전에도 있었는지 아직 확인되지 않았지만 이전에도 C 소스 코드에 바이러스 소스코드를 include 시키는 방법이나 바이러스에 소스 코드를 포함하고 있고 컴파일러가 설치된 시스템에서 그 소스를 변형해 컴파일해 새로운 변종을 만들어 내는 바이러스는 존재했었습니다.
재 컴파일을 통해 변형을 만들어내는 바이러스로는 Apparition 바이러스 시리즈가 있습니다.
아래는 V3에서 Win32/Apparition.96239로 진단되는 바이러스에 포함된 압축된 바이러스 소스코드 입니다.
그런데... 이 바이러스도 BCC32.EXE를 컴파일에 이용하네요.
볼랜드 제품은 이래저래 악성코드 제작자들에게 사랑(?) 받고 있나봅니다.
[감염 확인]
백신 프로그램을 이용해서 검사해 보는 방법이 있지만 아직 진단 추가가되지 않은 제품도 존재하고 일부 파일의 경우 미진단하는 경우도 발견되고 있습니다.
(아무래도 컴파일러가 바이러스를 만들다보니 컴파일되는 파일마다 형태가 달라져서 진단에 어려움이 있습니다.)
감염된 파일에는 아래와 같은 문자열이 존재합니다.
sysconst 와 dcc32.exe가 존재하면 감염되었다고 생각하시면 됩니다.
하지만, 컴파일 후 실행 압축으로 배포한 형태도 많아 백신에 따라 실행 압축된 파일은 진단하지 못할 수 있습니다.
혹은 진단해도 실행압축 때문에 파일을 지워버려 사용자 입장에서는 낭패를 겪을 수 있습니다.
(오진 아닌 오진이 되어 버린거죠.)
[델파이 설정 확인]
현재까지 알려진 델파이 개발자가 취할 방법은 다음과 같습니다.
1. 델파이가 설치된 디렉토리에서 sysconst.bak 파일 찾기 2. sysconst.dcu 파일 삭제 후 sysconst.bak를 sysconst.dcu 로 변경 3. 기존 파일 재컴파일 |
이미 배포된 파일은 치료보다는 재컴파일을 통한 배포가 바람직해 보입니다.
기존에 정상으로 분류되었던 파일에서도 이 바이러스가 무더기로 나오네요.
- 언제부터 퍼진걸까요 ?!?!?!?!?!
속담을 하나 만들어야겠네요.
'정상으로 분석된 샘플도 다시 보자.' ..... @.@
그리고, 내일 출근하면 오진아니냐며 연락 올 많은 개발자 및 업체 여러분.....
감염된겁니다 TT
ps.
향후에는 이런 컴파일러 감염 형태에 일반 파일도 감염시킬 수 있는 기능이 포함된다면.... 아찔 하군요.