최근 국내에서 제작된 것으로 추정되며 그래픽 카드 업체(AMD)용 파일로 위장하여 사용자 몰래 설치되는 악성 파일에 대해 소개를 한 적이 있었습니다.
▷ AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)
그런데 해당 악성 파일이 NVIDIA 파일로 변경한 변종 파일을 유포하는 것을 추가로 확인하였으며, 최초 유포 방식은 다음과 같습니다.
어떤 경로(광고 프로그램 설치시 몰래 설치되는 파일 추정)를 통해 악성 파일(MD5 : ea1c6bd931ebf020f1ccc5689b25ee40)이 사용자 몰래 설치됩니다.
참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.185393 (VirusTotal : 4/42) 진단명으로 진단되고 있습니다.
이렇게 다운로드된 악성 파일은 윈도우(Windows) 폴더 내에 추가적인 악성 파일(MD5 : 5948353073b25229067e9fa6a592d7e9)을 시작 프로그램으로 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.
참고로 해당 파일에 대하여 TrendMicro 보안 제품에서는 TROJ_DLOAD.AEW (VirusTotal : 1/42) 진단명으로 진단되고 있습니다.
이렇게 등록된 시작 프로그램은 시스템 시작시 다양한 광고성 프로그램을 설치하는 과정에서 추가적인 시작 프로그램 등록 파일 추가를 통해 또 다른 업데이트 서버를 연결하며, 이번에 소개할 NVIDIA 위장 파일도 추가하는 동작을 확인할 수 있습니다.
사용자 몰래 다운로드된 파일은 "NVIDIA Optimization" 파일로 위장하고 있으며, nProtect 보안 제품에서는 Trojan-Dropper/W32.Agent.167936.CN (VirusTotal : 1/42) 진단명으로 진단되고 있습니다.
- h**p://aazz8282.pnsweb.net.cn/ls_install.asp?mac=(사용자 Mac Address)&code=A1115
- h**p://aazz8282.pnsweb.net.cn/xp_install.asp?mac=(사용자 Mac Address)&code=A1115
감염시 해당 악성코드는 중국(China)에 위치한 특정 서버에 설치된 PC의 OS, Mac Address 정보를 전송하는 것으로 보이며, 이전의 AMD 위장 파일에서 사용한 서버(boosboos99.pnsweb.net)에서 이름이 약간 변경된 것을 확인할 수 있습니다.
참고로 해당 서버(aazz8282.pnsweb.net.cn)에 대한 정보를 확인해보면 작년(2011년) 하반기경 수익성 프로그램을 유포하는데 이용된 것으로 추정되는 부분을 확인할 수 있었습니다.
▷ 검색 도우미 : OpenSearch - opensearchp 1.00 (2011.5.27)
또한 현재 해당 서버에서 발견된 흔적을 추적해 보면 "OpenSearch - opensearchp 1.00" 검색 도우미 설치 파일(MD5 : 834348ee4c3680ccb25b6add0f3c1e64)도 확인할 수 있습니다.
참고로 해당 파일에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.VB.avsy (VirusTotal : 22/42) 진단명으로 진단되고 있습니다.
C:\NVIDIA
C:\NVIDIA\User
C:\NVIDIA\User\Temp
C:\NVIDIA\User\inb.dll
C:\NVIDIA\User\intelovd.exe :: 메모리 상주 프로세스
- MD5 : 37dc4dd0f51053201c45d74cee4e9b4d
- 알약(ALYac) : Trojan.Downloader.Boos99
C:\NVIDIA\User\iou.exe :: 시작 프로그램 등록 파일
- MD5 : c8c212255a9a4aa5e3ed2b641a05f8f9
- 알약(ALYac) : Trojan.Downloader.Boos99
해당 악성 프로그램은 NVIDIA 그래픽 카드를 사용하는 사용자의 경우 드라이버를 설치하는 과정에서 자연스럽게 생성되는 "C:\NVIDIA" 폴더 내부에 파일을 생성하여 사용자 눈을 속이고 있습니다.
최초 iou.exe 파일을 시작 프로그램으로 등록하여 자동 실행된 후, 약 1분~1분 20초가 경과하는 시점에서 intelovd.exe 파일을 로딩하여 메모리에 상주시키는 방식을 취하고 있습니다.
intelovd.exe 파일의 경우 "Intel Technology" 이름을 통해 사용자를 속이고 있는 것이 특징입니다.
마지막으로 inb.dll 파일은 이전의 aoa.dll, aob.dll 파일과 마찬가지로 그림과 같은 정보를 포함하고 있으며, 기존에는 감염 과정에서 다운로드 방식으로 설치된 것과 다르게 이번 배포에서는 설치 파일(MD5 : 0a83bbfa66c7a93ea7667c4039670307) 내부에 포함되어 있습니다.
결론적으로 감염된 환경에서는 시스템 시작시마다 중국에 위치한 aazz8282.pnsweb.net.cn(125.208.3.215) 서버에 쿼리 전송을 하고 있으며, 추가적인 동작은 확인되지 않고 있습니다.
하지만 국내 포털 사이트 다음(Daum), 네이버(Naver) 연결을 통해 인터넷을 이용하는 과정에서 추가적인 동작이 있을 수 있으므로 사용자들은 반드시 해당 악성 파일을 제거하시고 이용하시기 바랍니다.
악성 파일 제거를 위해서는 국내 보안 제품을 통한 정밀 검사 또는 다음의 절차에 따라 수동으로 문제를 해결하시기 바랍니다.
(1) Windows 작업 관리자를 통해 intelovd.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
(2) 윈도우 탐색기를 이용하여 "C:\NVIDIA\User" 폴더를 비롯한 내부 파일을 모두 삭제하시기 바랍니다.
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\INUB
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NVIDIAUtil = "C:\NVIDIA\User\iou.EXE" -op
모든 작업이 완료된 후에는 사용자의 시작 프로그램에 등록된 등록값 중 수상한 파일과 연결된 부분이 존재한지 점검을 하시는 것이 차후 유사한 악성 프로그램이 설치되는 일을 예방할 수 있으리라 판단됩니다.