윈도우 정품인증 관련 소식 알려드립니다

                                       불법 툴로 윈도우 정품 인증하면 안되는 이유

최근 윈도우 정품 인증 툴로 위장한 악성코드가 지속적으로 유포되고 있다. 해당 악성코드는 겉으로는 윈도우 정품 인증을 피할 수 있게 해주는 불법 도구 프로그램으로 위장하고 있지만, 실제로는 사용자 PC에 숨어들어 가상화폐를 채굴하는 마이너(Miner, 채굴 악성코드)다. 

정품 소프트웨어 사용은 안전한 PC 이용의 기본이지만, 비용 절감 등의 이유로 일부 개인뿐만 아니라 사업장에서도 종종 복제판을 사용하고 있다. 대부분의 소프트웨어와 마찬가지로 윈도우 운영체제는 설치 후 정품 여부를 확인하기 위한 인증 키를 입력하도록 되어 있다. 인증 키를 입력할 때까지 정품 인증을 요구하는 메시지가 지속적으로 나타나며, 장기적으로는 사용에 제한이 발생하기도 한다. 정품 사용자라면 문제되지 않겠지만 복제판을 이용하는 사용자로서는 불편한 상황. 그러다 보니 윈도우 정품 인증을 회피할 수 있도록 도와주는 불법 툴을 찾는 경우가 있다. 이번에 유포된 악성코드는 이런 사용자를 노린 것이다. 

사용자는 포털 사이트나 커뮤니티 사이트 등을 통해 윈도우 정품 인증을 위한 불법 프로그램으로 위장한 악성코드를 다운로드하게 된다. 이렇게 다운로드 받은 파일(KMSPico10.2.1.exe)은 [그림 1]과 같이 악성 행위를 하는 배치 파일(KMSPICO_SETUP.bat)을 생성한다. 생성된 배치 파일은 정품 인증 파일(KMSPicoActivator.exe)을 실행시켜 정상적인 인증을 하는 것처럼 사용자들을 속이고 그 이후에 레지스트리에 등록하는 파일(Registry_Activation.exe)과 마이너 악성코드(Activation.exe)를 실행한다. 

[그림 1] 윈도우 정품 인증 툴로 위장한 악성코드의 실행 과정

생성된 배치 파일([그림 2] 참고)을 살펴보면, 공격자는 설치와 패치가 정상적으로 진행되는 것처럼 위장하기 위해 “47%”, “78%”와 같은 진행률을 표시하는 동시에 레지스트리 등록 파일과 마이너를 실행했다.

[그림 2] 배치 파일 내부

해당 가상화폐 채굴 악성코드는 윈도우 기반 모네로(Monero) 채굴 프로그램인 XMRig 설정 파일과 유사하게 제작되었다.

이와 같이 불법 프로그램으로 위장한 악성코드 감염을 예방하려면, 제작사 홈페이지에서 정품 소프트웨어를 다운로드 하는 것이 중요하다. 또한 인터넷에서 다운로드 한 파일을 실행하기에 앞서 최신 버전으로 업데이트된 V3로 실시간 검사를 실행하도록 한다. 만일 시스템이 이전과 달리 현저하게 느려졌다면 채굴 악성코드에 감염되었을 가능성도 있으므로 V3 정밀 검사 기능을 통해 시스템을 전체적으로 검사할 것을 권장한다.

V3 제품군에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

옆동네에서 발췌한문장 참고하세요

10프로 업데이트를 무심코 했더니 인증이 풀리는 바람에 김명숙 씨를 찾아 다녔습니다.

그 결과,몇 개의 김명숙은 인증이 되지 않고 PC에 찌꺼기만 뿌려댄 바람에 이것을 또 일일이

삭제하는 것도 일이더군요.

그냥 두면 악성바이러스 운운하며 카스퍼스키에서 수시로 잡아내는 바람에, 모두 삭제를

해야 했습니다.

전에는 인증을 해도 별도의 파일을 깔지 않았던 것 같은데, 이번에 실행했던 어떤 KMS는 그렇지가

않아서, 누군가 악의적인 목적으로 멀쩡한 KMS에 악성뭔가를 추가한 것이 아닌가 의심스럽기도 했습니다.

그래도 Ratiborus KMS Tools 18.10.2018, 이놈은 적어도 아직까지는 아무것도 깔아대지는

않은 것같아서 다행으로 여기고 있습니다.

혹시라도 모르는 분들이 있을 것같아서, 참고하시라는 의미에서 몇자 적었습니다.