하우리(대표 김희천)는 한동안 자취를 감췄던 메모리 해킹 악성코드가 재등장해 사용자 주의를 당부했다.
메모리 해킹 악성코드는 광고, 쇼핑, 검색 도우미 등 애드웨어류 프로그램 업데이트 기능을 악용해 사용자 PC에 설치된다. 최근 두 달 동안 다수 메모리 해킹 악성코드가 유포됐다.
악성코드가 동작하면 먼저 무료 백신 프로그램을 무력화한다. 이후 메모리 해킹을 통해 금융 보안 모듈 정상 작동을 막는다. 인터넷 뱅킹 서비스 사용 도중에 특정 팝업 창 등을 띄워 사용자 뱅킹 정보를 탈취한다. 일시 거래정지가 되었으니 거래정지를 해제하기 위해 본인인증을 진행하라는 팝업 창 등이 포함됐다.
악성코드는 탈취한 공인인증서와 보안카드 정보 등을 특정 서버로 전송한다. 지속적으로 특정 서버에 접속해 최신 악성코드를 다운로드해 기능 업데이트를 시도한다.
하우리 CERT실은 “메모리 해킹 악성코드를 제작하는 조직이 다시 움직이며, 최근 인터넷뱅킹 환경에 맞는 새로운 악성코드를 시험하는 것으로 추정 된다”면서 “애드웨어류 프로그램으로 유입되고 있어 불필요한 프로그램을 삭제하고 백신 프로그램을 항상 최신버전으로 운영해야 한다”고 말했다. 하우리 바이로봇 백신은 `Trojan.Win32.Agent` 진단명으로 탐지하며 치료 한다.
김인순 보안 전문기자 insoon@etnews.com