본문 바로가기

벌새::Analysis

해외 가짜 백신 : Kaspersky Internet Security 2010

반응형
최근 자극적인 동영상 감상을 위해 코덱(Codec) 파일을 다운로드하도록 실행시 해외 유명 보안 제품 Kaspersky Internet Security 2010 버전으로 위장한 가짜 백신(FakeAV)가 동작하는 사례가 확인이 되었습니다.

참고로 러시아를 본사로 하는 Kaspersky 보안 제품과 동일한 이름을 사용하고 있으므로 혼동하지 않도록 주의할 필요가 있습니다.

 

 

해당 악성코드 유포 방식은 그림과 같은 PrivateTube라는 이름의 악성 사이트로 접속을 유도하여 동영상 감상을 위해 플레이(Play) 버튼을 클릭하도록 구성되어 있습니다.

 

 

사이트에서는 동영상 감상을 위해 코덱 파일을 다운로드하여 실행하도록 유도하고 있으며, 해당 codec.exe(MD5 : ef1d48e8226e491133525df0e4d44dea) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Scar (VirusTotal : 27/43) 진단명으로 진단되고 있습니다.

 

 

최초 codec.exe 파일을 실행하면 추가적인 파일 생성없이 프랑스(France)에 위치한 특정 서버로 연결하여 Internet Explorer 웹 브라우저를 통해 그림과 같은 가짜(Fake) Kaspersky Internet Security 2010 프로그램이 동작하는 것처럼 사용자 눈을 속이고 있습니다.

 

 

참고로 진단된 트래킹쿠키(TrackingCookie) 파일들에 대해 무료로 치료를 해주는 동작을 구현하고 있지만, 실제 해당 파일은 사용자 PC에 존재하지 않는 파일에 대한 허위 진단 및 치료입니다.

 

 

가짜 Kaspersky Internet Security 2010 버전의 업데이트(Update) 영역에서는 그림과 같은 정보를 제시하고 있습니다.

 

 

라이센스(Licensing) 영역에서는 설치 시점부터 6일간 무료로 사용할 수 있는 것처럼 구성되어 있습니다.

참고로 테스트 과정에서는 결제 유도 행위가 확인되지 않고 있지만, 일정 시간 경과시 결제창 생성 또는 무료 라이센스 기간이 경과한 이후에 결제 유도 행위가 발생할 것으로 추정됩니다.

 

 

해당 가짜 Kaspersky Internet Security 2010 버전이 실행된 상태에서 프로세스 정보를 확인해보면, 사용자가 다운로드한 코덱 파일(codec.exe)을 실행한 경우 svchost.exe 프로세스의 자식으로 iexplore.exe 프로세스가 생성된 것을 확인할 수 있습니다.

 

사용자가 만약 Kaspersky Internet Security 2010 프로그램의 닫기(X) 버튼을 클릭할 경우 시스템 트레이 알림 아이콘 영역에서는 그림과 같이 보이지 않는 트레이 아이콘 형태로 최소화되며, "Microsoft Security Center"라는 표시로 사용자 눈을 속이고 있는 동작을 확인할 수 있습니다.

이렇게 감염된 상태에서 사용자가 강제로 iexplore.exe 프로세스를 종료한 경우에는 다음과 같은 악의적인 동작이 연결되는 부분을 확인할 수 있습니다.

 

 

해당 악성코드에 감염된 상태에서 특정 서버에서 버전 및 업데이트 체크를 통해 추가적인 파일(MD5 : 6ea6e66f0f0335de50ab4ad464e05985)을 다운로드하여 다음과 같이 생성을 합니다.

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\daemon.exe :: 숨김(H) 속성, 시작 프로그램 등록 파일
 - MD5 : 6ea6e66f0f0335de50ab4ad464e05985

 - Kaspersky : Trojan.Win32.Scar.ffbm (VirusTotal : 19/43)

C:\Documents and Settings\(사용자 계정)\Application Data\update.exe :: 재부팅 후 자가 삭제
 - MD5 : 6ea6e66f0f0335de50ab4ad464e05985
 - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 19/43)

C:\WINDOWS\System32\sysrunc.exe :: 숨김(H) 속성, 시작 프로그램 등록 파일
 - MD5 : 6ea6e66f0f0335de50ab4ad464e05985
 - BitDefender : Gen:Trojan.Heur.RP.rmGfaynPGKii (VirusTotal : 19/43)
 
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - daemon = C:\Documents and Settings\(사용자 계정)\Application Data\daemon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sysrunc = C:\WINDOWS\System32\sysrunc.exe

 

이를 통해 codec.exe 파일을 추가로 다운로드한 update.exe 프로세스를 통해 종료된 가짜 Kaspersky Internet Security 2010 프로그램을 재실행하려고 시도를 하는 것을 확인할 수 있습니다.

또한 사용자가 시스템 종료 및 재부팅을 하는 경우 시작 프로그램에 등록된 daemon.exe, sysrunc.exe 파일을 통해 자동으로 가짜 Kaspersky Internet Security 2010 프로그램을 실행하도록 구성되어 있습니다.

 

 

실제 재부팅 후 초기 동작하는 악성코드 프로세스 정보를 살펴보면 시작 프로그램으로 등록된 sysrunc.exe 프로세스가 가짜 Kaspersky Internet Security 2010 프로그램(iexplore.exe)을 실행하고 메모리에 상주해 있는 것을 확인할 수 있습니다.

그러므로 해당 악성코드에 감염된 경우에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 통해 치료를 하시기 바라며, 수동으로 해결하기 위해서는 다음과 같은 절차를 반드시 따르시기 바랍니다.(※ 수동 절차시에는 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

 

 

우선 생성된 악성 파일을 Windows 탐색기로 찾기 위해서는 반드시 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목을 체크 해제하시고, [숨김 파일 및 폴더 표시] 항목으로 변경을 하시기 바랍니다.

1. Windows 작업 관리자에서 sysrunc.exe 프로세스를 수동으로 종료하시기 바랍니다.

2. 다음의 파일을 Windows 탐색기를 통해 찾아 수동으로 삭제하시기 바랍니다.
 
  • C:\Documents and Settings\(사용자 계정)\Application Data\daemon.exe
  • C:\Documents and Settings\(사용자 계정)\Application Data\update.exe :: 존재시 삭제
  • C:\WINDOWS\System32\sysrunc.exe

3. Windows 작업 관리자에서 iexplore.exe 프로세스를 모두 종료하시기 바랍니다.

4. 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 수동으로 삭제하시기 바랍니다.(※ 붉은색 체크된 값만 삭제하시기 바랍니다.)

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - daemon = C:\Documents and Settings\(사용자 계정)\Application Data\daemon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sysrunc = C:\WINDOWS\System32\sysrunc.exe

모든 작업이 완료된 후에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시기 바랍니다.

인터넷 상에서 동영상 감상을 목적으로 추가적인 ActiveX 설치 또는 실행 파일 다운로드를 통한 프로그램 설치를 요구할 경우에는 우선적으로 악성 파일로 의심을 하시고 다양한 검사를 통해 안전성 여부를 점검할 필요가 있습니다.

해당 악성코드는 실제 국내 인터넷 사용자 중에서는 실제 감염자가 거의 없을 것으로 보이지만, 위와 유사한 다양한 변종이 발생할 수 있으므로 해당 내용을 참고하여 응용하시는 것도 좋은 방법이 아닐까 싶습니다.

728x90
반응형