HAURI

전체메뉴 열기

Check Virus Alerts and HAURI News

긴급 악성코드 이슈와 하우리 소식을 확인하세요.

공지사항

[보도자료] (주)하우리, 윈도우 인스톨러 형식 악성코드 증가에 따른 감염 주의
등록일 :
2018.02.23

보안전문기업 (주)하우리(대표 김희천)는 최근 ‘윈도우 인스톨러’ 형식의 악성코드를 유포하는 사례가 크게 증가하고 있어 사용자들의 주의가 필요하다고 밝혔다.

“윈도우 인스톨러(Windows Installer)”는 마이크로소프트 윈도우 운영체제에서 사용하는 표준 설치 패키지로 “MSI(Microsoft Installer)”를 확장자로 사용한다. 파일 내부에 데이터베이스 테이블로 구성된 설치 지침들과 실행할 응용 프로그램 파일을 포함하고 있다. 공격자들은 이를 이용하여 ‘윈도우 인스톨러’에 악성코드를 포함시키는 방법으로 기존의 보안 제품들을 우회하여 실행하는 데 활용하고 있다.

주로 이메일에 ‘윈도우 인스톨러’ 형식인 “MSI” 패키지 파일을 첨부하거나 또는 문서형 취약점을 이용하여 “MSI” 패키지 파일을 다운로드하여 실행시키는 방법으로 악성코드를 감염시키고 있다. 현재 원격제어 악성코드와 랜섬웨어 악성코드 등이 해당 방법으로 유포되고 있다. “MSI” 패키지 파일로 악성코드를 실행시키는 방법은 흔치 않아 기존 보안 제품들이 탐지하기 어려운 경우가 많으며, “EXE” 등의 실행파일들 보다 사용자들의 신뢰도가 높기 때문에 쉽게 감염될 수 있어 주의가 필요하다.

최상명 하우리 CERT실장은 “이러한 유형은 작년 말에 등장하기 시작하여 최근에 크게 증가하고 있다”라며, “윈도우 인스톨러 형식 파일에 대해서도 주의가 필요하며, 백신의 실시간 감시 기능을 활성화하여 감염을 예방해야 한다”라고 밝혔다.

현재 하우리 바이로봇에서는 ‘윈도우 인스톨러’ 형식으로 유포 중인 악성코드를 "MSI.S.Agent"의 진단명 등으로 탐지 및 치료할 수 있다.
 

 


[그림1] 윈도우 인스톨러 형식으로 유포된 악성 악성코드 현황


[그림2]윈도우 인스톨러 형식 파일 내부에 포함되어 있는 악성코드(붉은색 박스)


[그림3]실제 유포 중인 윈도우 인스톨러 형식 악성코드들

 

Top