삭제시키려면 시스템 마비시키는 채굴 코드, WinstarNssMMiner

삭제시키려면 시스템 마비시키는 채굴 코드, WinstarNssMMiner

시스템 프로세스 두 개 만들고, 삭제 시도 발견 시 시스템 마비시켜
어베스트나 카스퍼스키 등 유명 백신 나타나면 행동 멈춰

http://www.boannews.com/media/view.asp?idx=69631&mkind=1&kind=1

---

새로운 암호화폐 채굴 코드 WinstarNssMMiner가 발견되었다는 기사가 올라왔다.

보안업체 차우360에서 발견하였으며, 현재 이 채굴코드는 3일만에 약 50만번의 공격 시도를 하며 한화 2900만원 정도의 수익을 벌어들이고 있다.

전문가들은 3일만에 50만대의 컴퓨터를 감염 또는 감염 시도 했다는 점은 공격자가 트래픽이 높은 웹사이트, 광고, 공공 와이파이망을 노린것 또는 윈도우의 특정 취약점을 익스플로잇하는 것이라 보고 있다.

WinstarNssMMiner는 오픈소스 채굴 코드인 XMRig을 기본으로하여 두 개의 svchost.exe 시스템 실행 파일을 만드는데 하나는 채굴, 또다른 하나는 백심 제품의 탐지를 피하기 위한 것이가 한다.

이 채굴코드는 제거하려할 때, 악성 코드를 한개의 실행파일에 주입하여 시스템이 마비되도록한다. 

또한 유명 백신이 시스템에 설치되어있는지 확인 후, 백신이 있는 시스템에서는 행동을 멈추지만, 유명하지 않은 백신이 탐지될 경우 백신을 속여 작업을 한다고 한다.

일반 멀웨어는 최대한 들키지 않고 시스템에 오래 남아있으려고 하며, 제거 시에도 문제가 발생하지 않기에 이 채굴코드는 더일반 멀웨어와 차이점을 보인다.

보안 업체 와치가드의 보안 전문가는 

이 치명적인 프로세스 장난질을 흉내내는 멀웨어가 계속하여 등장할 경우, MS가 해당 프로세스의 원리를 통채로 바꿀것이며, 특정 프로세스를 판단할 수 있는 주체나 계정의 권한을 높일 것으로 본다고 하였다.

암호화폐가 사라지지 않는 한 더 많은 채굴행위가 발견 될 것이며, 발전되고 교묘한 방법으로 우리들의 시스템에 침투할 것이다. 

기사에서 언급된 것 처럼 유명 백신을 설치하여 행동할 수 없도록 하는 것이 대응 방안이라고 생각되며, 유명하지 않은 백신들도 우회할 수 없도록 업데이트를 꾸준히 해야할 것이다.