변조된 알집(ALZip) 6.7 버전을 이용한 악성코드 감염 주의 (2012.2.19)

최근 국내 동영상 교육 사이트에 등록된 압축 프로그램 알집(ALZip) 6.7 버전의 설치 파일이 악의적으로 변조되어 설치시 사용자 몰래 추가적인 악성 파일 감염이 이루어지는 것을 확인하였습니다.

유포 위치를 확인해보면 보편적인 동영상을 이용한 교육 사이트와 마찬가지로 강의 자료를 위한 압축 프로그램, 한글 뷰어, 오피스 뷰어 프로그램을 제공하고 있으며, 이 중에서 알집(ALZip) 압축 프로그램의 설치 파일이 변조된 것으로 보입니다.

MD5 : E5083BC2FE8B6891B404BC8EA90B9E6D

실제 이스트소프트(ESTsoft)사에서 제공한 알집(ALZip) 6.7 버전을 확인해보면 디지털 서명이 포함되어 있는 것을 확인할 수 있습니다.

MD5 : FF516A905104830B9F0370089A735709

하지만 변조된 알집(ALZip) 6.7 버전의 설치 파일에서는 디지털 서명란이 존재하지 않는 것을 확인할 수 있으며, 이런 경우에는 외부에서 설치 파일을 수정하였을 가능성이 존재합니다.

참고로 해당 변조된 설치 파일(MD5 : FF516A905104830B9F0370089A735709)에 대하여 Kaspersky 보안 제품에서는 Trojan-Dropper.Win32.Agent.aoc (VirusTotal : 33/43) 진단명으로 진단되고 있습니다.

사용자가 알집(ALZip) 프로그램을 다운로드하여 설치를 시도할 경우 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 임시 폴더에 tmp1.exe(알집 설치 파일 : 정상)과 tmp2.exe(악성 파일)을 생성하는 동작을 확인할 수 있습니다.

• C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\tmp2.exe (MD5 : b2c2923f3a44199e7fc7386d271eb46d)

해당 악성 파일에 대하여 AhnLab V3 보안 제품에서는 Win32/IRCBot.worm.variant (VirusTotal : 36/43) 진단명으로 진단되고 있으며, 파일은 바이러스토탈(VirusTotal) 기준으로 2008년 4월경에 첫 등록되었습니다.

이것으로 추정되는 부분은 알집(ALZip) 6.7 버전이 2006년 12월경에 출시되었다는 점을 고려한다면 2008년경부터 해당 파일은 감염된 상태로 사이트에 등록되어 있었던 것이 아닌가 의심됩니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\ntos.exe
 - MD5 : 4b4b9e64c2459305306440e799cfb729
 - Kaspersky : Trojan-Spy.Win32.Zbot.axq (VirusTotal : 35/43)

C:\WINDOWS\system32\wsnpoem\audio.dll
 - MD5 : 0098304eaaac132a5afc5768c54898ce

C:\WINDOWS\system32\wsnpoem\video.dll (0 Byte)

감염된 파일은 윈도우 탐색기로는 보이지 않는 루트킷(Rootkit) 기반으로 제작되어 GMER 프로그램을 통해 확인할 수 있으며, 시스템 폴더에 ntos.exe 파일을 생성하여 동작하는 것을 확인할 수 있습니다.

[변경 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, :: 변경 후

생성된 악성 ntos.exe 파일을 Windows 시작시 winlogon.exe 시스템 프로세스에 추가되어 자동 실행되어 동작하며, 다음과 같은 외부 연결 시도를 확인할 수 있습니다.

GET /tcp/conf/conf32.bin HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: ms-update.info
Cache-Control: no-cache

국내에 등록된 61.78.35.195(kdn.ktguide.com) 서버에 연결을 시도하고 있으며, 현재는 "400 Bad Request"가 뜨는 것으로 보아 죽은 상태로 추정됩니다.

이외에도 감염시 Windows 방화벽을 자동으로 "사용 안 함"으로 변경하는 동작을 통해 자신의 동작을 차단하지 못하도록 하고 있습니다.

참고로 해당 악성코드 자체는 해외에서 제작되어 금융권 정보를 수집하여 금전적 피해를 유발하는 것으로 잘 알려진 제우스(Zeus) 관련 악성코드 계열로 추정되며, 실제 국내 금융권에는 영향을 주지는 않는 것으로 보입니다.

실제 대부분의 백신 제품에서 이번 악성코드에 대한 진단을 잘하고 있으므로 감염으로 연결되지는 않겠지만, 이처럼 교육 사이트에서 제공하는 프로그램들이 해당 업체 서버에 설치 파일을 저장하여 다운로드 서비스를 하는 경우가 많은 것으로 보입니다.

이런 경우 외부의 침입으로 파일 변조가 발생하여 악성코드 감염을 유발할 수 있으며, 취약점이 노출된 구버전을 지속적으로 배포하므로 되도록 프로그램 설치시에는 제작사 홈페이지에서 다운로드하는 습관을 가지시기 바랍니다.

 Update : 동영상 시청을 위한 ActiveX Download (2012.2.19)

해당 유포 사이트에서 제공하는 동영상 시청을 위한 ActiveX 프로그램 다운로드 설치 파일 역시 변조된 것으로 확인이 되었습니다.

특히 해당 파일 다운로드 안내에서는 특정 백신 프로그램에서 바이러스로 진단되는 경우가 있으나 오진이라며 설치시 백신 프로그램의 실시간 감시를 끄고 설치하라는 무책임한 안내문을 확인할 수 있습니다.

해당 설치 파일(MD5 : a7b454d557f7a61521e8d9ec67b04aac)에 대해서 AhnLab V3 보안 제품에서는 Dropper/Malware.4103687 (VirusTotal : 30/43) 진단명으로 진단되고 있습니다.

설치 파일을 실행하면 S2MPlayer 프로그램 설치를 위한 압축 해제와 함께 설치 단계로 연결이 이루어집니다.

이 과정에서 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\tmp2.exe" 악성 파일을 생성하여 위에서 분석한 내용과 동일한 감염이 이루어지는 것을 확인할 수 있습니다.

이처럼 웹 사이트 관리가 제대로 이루어지지 않는 경우 장시간에 걸쳐 감염된 파일을 게시하여 방문자에게 피해를 유발할 수 있으며, 백신 프로그램의 진단을 정확한 확인 절차를 거치지 않고 오진으로 판단하는 문제도 있으므로 항상 백신의 실시간 감시를 켜시고 파일을 실행하시는 습관이 중요하겠습니다.