인터넷 게시판, 블로그, 공개 자료실 등에 등록된 파일을 실행하여 생성되는 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램을 통해 백도어(Backdoor)가 유포되는 사례를 확인하였습니다.
▷ 제휴(스폰서) 프로그램을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.12)
해당 악성코드는 2012년 3월경 발생한 제휴(스폰서) 프로그램을 이용하여 온라인 게임 관련 백도어 기능을 수행할 목적으로 유포되던 악성 파일의 변종이므로 참고하시기 바랍니다.
이번 악성코드의 유포 방식을 세부적으로 확인해보면 인터넷 상에서 다운로드한 유명 소프트웨어를 실행할 경우 그림과 같은 파일 다운로더 창(pdsdownloader)이 생성됩니다.
해당 창의 우측 하단에는 매우 작은 스크롤바 형태로 다수의 수익성 프로그램이 체크된 상태로 등록되어 있으며, 맨 하단에는 "STATS조사"라는 프로그램이 포함되어 있습니다.
해당 제휴 프로그램이 등록된 업데이트 서버를 확인해보면 2012년 6월 1일 오전 10시 42분경 등록되어 있으며 "인터넷 통계 조사 프로그램"이라는 허위 이용약관을 포함하고 있습니다.
해당 설치 파일(MD5 : c4b387241c966a42686f7b14edb26b8a)에 대하여 Microsoft 보안 제품에서는 VirTool:Win32/Obfuscator.XZ (VirusTotal : 6/42) 진단명으로 진단되고 있습니다.
C:\WINDOWS\system32\IETimes.txt
C:\WINDOWS\system32\PPSave.dll (MD5 : ce5ac2c8f60e463afe05d67ba93db475)
악성코드에 감염될 경우 시스템 폴더에 숨김(H) 속성값을 가지는 PPSave.dll 파일이 75.1MB 크기로 생성됩니다.
또한 서비스에 "서비스 이름(표시 이름) : PPSave" 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\svchost.exe -k PPSave" 파일을 자동으로 실행하도록 제작되어 있습니다.
이를 통해 svchost.exe 프로세스 추가를 통해 "112.175.100.203 : 6174(ciygqnn.gicp.net)" C&C 서버로 연결을 시도하는 동작이 이루어집니다.
연결시 확인되는 패킷에서는 "Login:a@a" 문자를 확인할 수 있으며, 실질적인 동작은 암호화된 PPSave.dll 파일에서 지정한 특정 온라인 게임이 동작시 추가적인 악성 파일 다운로드 및 백도어 기능을 수행할 것으로 추정됩니다.
특히 감염된 PC 환경인 경우 감염 후 시스템 재부팅 과정에서 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일을 삭제해 버리는 동작을 확인할 수 있었습니다.
해당 악성코드 감염자는 다음의 절차에 따라 문제를 해결하시기 바라며, 감염된 상태에서 불필요한 인터넷 로그인 및 온라인 게임 실행 등의 동작을 하지 않는 것이 가장 안전합니다.
우선 폴더 옵션에서 "숨김 파일 및 폴더 표시"에 체크를 하시고 악성 파일을 찾으시기 바랍니다.
(1) 실행창에 [sc stop "PPSave"] 명령어를 입력하여 악성 서비스를 중지시키기 바랍니다.
(2) 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\IETimes.txt
- C:\WINDOWS\system32\PPSave.dll
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
- PPSave = PPSave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PPSAVE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PPSave
삭제시 "키 삭제 오류" 창이 생성되는 레거시(Legacy) 값은 다음의 절차에 따라 삭제를 진행하시기 바랍니다.
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
PPSAVE" 키 값에 마우스 우클릭을 통해 생성된 "사용 권한" 메뉴를 클릭하시기 바랍니다.
생성된 "LEGACY_PPSAVE의 사용 권한" 창에서 "Everyone의 사용 권한"의 "모든 권한"에서 "허용" 박스에 체크를 하시고 적용 버튼을 클릭하시기 바랍니다.
그 후 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
PPSAVE" 값을 삭제하시면 정상적으로 삭제됩니다.
(4) 삭제된 호스트 파일은 다음의 링크 내용(직접 해결 방법)을 참고하여 수동으로 제작하시거나 "Microsoft Fix it 50267" 파일을 다운로드하여 실행하시기 바랍니다.
▷ <Microsoft> 호스트 파일을 기본값으로 다시 설정하는 방법
모든 절차가 완료된 후에는 반드시 추가적으로 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 기본적으로 국내 블로그 또는 신뢰할 수 없는 공개 자료실에서 제공하는 첨부 파일은 절대로 다운로드 및 실행을 하지 않는 것이 안전합니다.