본문 바로가기

벌새::Analysis

[삭제] 싸이월드 투데이 : SimSiMi

반응형
싸이월드(CyWorld) 서비스를 비정상적인 방법으로 이용하는 것 중에 가장 대표적인 것이 싸이월드 투데이 올리기와 관련된 프로그램이며 다수의 프로그램 중에서 사용자의 개인정보 탈취 및 불필요한 시스템 자원 낭비를 하는 프로그램이 다수 존재하는 것으로 알려져 있습니다.

이전에도 유사한 프로그램을 살펴보았으며, 이번에는 SimSiMi라는 이름으로 배포가 되고 있는 프로그램을 알아보도록 하겠습니다.

해당 프로그램은 블로그를 통해 배포가 이루어지고 있는 것으로 제작자는 자체적인 홈페이지를 개설하여 회원 가입을 통한 업데이트 버전을 추가적으로 배포하고 있습니다.

현재 블로그에서 배포가 이루어지고 있는 3.2 버전의 경우 실제 실행을 할 경우 최신 버전 업데이트로 인한 문제인지 현재는 차단을 하고 있는 것을 확인할 수 있습니다.

배포 블로그에서는 차단 전의 경우 정상적인 동작에서 싸이월드 아이디와 비밀번호 입력 과정을 통해 프로그램을 동작하도록 구성되어 있는 것으로 확인이 됩니다.

하지만 위의 그림과 같이 프로그램을 실행할 수 없다는 메시지가 출력된 상태에서 실제로는 일부 파일이 특정 서버에서 다운로드되어 시스템 폴더에 파일을 생성한 것을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\WINDOWS\System32\YAKIMA.exe (AhnLab : Win-Spyware/CyToday.9728)

[생성 파일 다운로드 정보]

Http: Request, GET /SimSiMi3/Today.exe
Command: GET
URI: /SimSiMi3/Today.exe (YAKIMA.exe 자가복제)
ProtocolVersion: HTTP/1.1
Host:  kksa.******.com

Http: Request, GET /SimSiMi3/zToday.exe
Command: GET
URI: /SimSiMi3/zToday.exe (Bigten.exe 자가복제)
ProtocolVersion: HTTP/1.1
Host:  kksa.******.com


이렇게 생성된 파일에 대하여 안철수연구소(AhnLab) 보안제품에서는 싸이월드 계정 탈취용 스파이웨어(Spyware)로 진단하고 있는 것을 확인할 수 있습니다.

현재와 같이 관리자에 의해 프로그램 실행을 차단하지 않았다면 싸이월드 로그인 과정에서 특정 서버로 계정 정보가 유출되었을 것으로 보이며, 보안업체의 진단에 따른 우회 목적으로 새로운 업데이트 버전을 내놓은 것으로 추정됩니다.

[시작 프로그램 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Bigten = C:\Windows\System32\Bigten.exe
 - YAKIMA = C:\Windows\System32\YAKIMA.exe


문제는 이렇게 동작하지 않는 프로그램의 경우에도 생성된 파일은 시작 프로그램으로 등록되는 것을 확인할 수 있으며, 윈도우 시작시 자동으로 실행되고 있습니다.

특히 생성된 YAKIMA.exe / Bigten.exe 2개의 프로세스는 사용자 컴퓨터 환경에 따라 CPU 점유율이 다를 수 있지만, 저사양 컴퓨터에서 심하게 시스템 자원을 활용하는 것을 확인할 수 있습니다.

Bigten.exe

Bigten.exe 파일의 정보를 살펴보면, 특정 서버에 접속을 하여 등록된 특정 싸이월드 계정의 투데이를 올리기 위해 동작을 하는 것을 확인할 수 있습니다.

YAKIMA.exe

YAKIMA.exe 파일의 경우에도 특정 서버에 접속하여 등록된 싸이월드 계정의 위한 동작을 하는 것을 확인할 수 있습니다.

이처럼 무심결에 호기심으로 인해 실행된 파일이 동작하지 않는 상태에서도 사용자 몰래 설치된 파일로 인하여 자동으로 실행이 되며, 자신의 계정 정보도 외부로 유출될 수 있는 것을 확인하였습니다.

테스트 과정에서 확인된 싸이월드 등록 계정이 일부 존재하며, 실제 프로그램을 등록하지 않았지만 한 번의 실행으로 좀비PC처럼 타인의 싸이월드 계정을 위해 이용당하지 않도록 주의하시기 바랍니다.

728x90
반응형