콘텐츠로 바로가기 대메뉴로 바로가기

정보화본부
전산정보원 충북대학교 전산정보원입니다.

정보보안 소식

Home > 정보보안 > 정보보안 소식
조회수 : 825 작성일 : 2017.09.20
Avast社 최적화 소프트웨어 `CCleaner` 관련 악성코드 배포 주의 권고 상세보기
Avast社 최적화 소프트웨어 `CCleaner` 관련 악성코드 배포 주의 권고

제목

Avast社 최적화 소프트웨어 `CCleaner` 관련 악성코드 배포 주의 권고

개요

전세계 수억대 PC에 설치된 PC최적화 프로그램인 `CCleaner`의 일부 버전이 변조되어 악성코드를 포함하여 배포

내용

□ CCleaner 프로그램이 변조되어 배포된 정황을 포착, 해당 프로그램 사용자는 확인 후 보안조치 필요

□ 해당 소프트웨어

- 변조 버전 : CCleaner 5.33.6162(윈도우 32비트), CCleaner Cloud 1.07.3191(윈도우 32비트)

- 변조 및 배포시점 : 2017.8.15 ~ 9.12

□ 동작 특이사항

- 배포 프로그램을 변조하여 XOR 기반 난독화를 통해 쉘코드를 은닉하고 관리자 권한으로 실행시 악성기능 동작

- 악성기능 동작시 C&C서버로 감염단말의 정보를 전송하고, 추가 악성코드를 다운로드하여 실행하도록 구성

 (하드코딩된 C&C서버에 접속실패하는 경우 DGA(Domain Generation Algorithm)에 의해 생성된 도메인에 접근 시도)

□ 생성된 도메인 정보와 C&C 서버 정보

- ab6d54340c1a.com
- aba9a949bc1d.com
- ab2da3d400c20.com
- ab3520430c23.com
- ab1c403220c27.com
- ab1abad1d0c2a.com
- ab8cee60c2d.com
- ab1145b758c30.com
- ab890e964c34.com
- ab3d685a0c37.com
- ab70a139cc3a.com

- C&C IP (216.126.225.148)

 

上記 내용으로 피해가 발생하거나, 수신이 확인되면 즉시 교육부 사이버안전센터로 신고 바랍니다.
(053-714-0777,
cert1@ecsc.go.kr)

 

대책

□ `CCleaner`의 변조된 버전 제거 및 최신버전 설치[1]
□ 보안장비를 활용하여 C&C서버 접속 차단
□ 바이러스 백신 최신버전 적용

관련사이트

[1]`CCleaner` 최신버전 다운로드(https://www.piriform.com/ccleaner/download/standard )