해킹된 대량의 네이버(Naver) 계정과 블로그를 이용하여 국내 인터넷 사용자들이 많이 찾는 프로그램의 설치 파일을 첨부 파일 형태로 등록하여 사용자 몰래 백도어(Backdoor) 기능을 하는 악성 dll 파일을 심는 사례가 지속적으로 발견되고 있습니다.
▷ wLauncher 핵감지기를 이용한 백도어(Backdoor) 유포 주의 (2012.4.24)
▷ w런쳐(wLauncher) 맵핵 감지기를 이용한 악성코드 유포 주의 (2012.4.25)
최근 유포되는 악성 프로그램을 살펴보면 정상적인 소프트웨어를 설치하는 과정에서 "Nateon(숫자).exe" 또는 "Nateon(숫자)-(숫자).exe" 파일 형태의 드랍퍼(Dropper)를 생성하여 감염이 이루어지는 경우를 발견할 수 있습니다.
이번 분석에서는 2012년 4월 24일 작성된 wLauncher 맵핵 감지기 프로그램을 이용한 악성코드의 변종으로 추정되는 유포 방식에 대해 간단하게 살펴보도록 하겠습니다.
해당 네이버 블로그는 2012년 3월경 해킹으로 인해 계정 블로그에 악성 게시글이 다수 등록되기 시작하였으며, 그 중에서 w런쳐(wLauncher) 맵핵 감지기 프로그램 설치 파일을 첨부 파일로 등록하여 유포를 진행하고 있습니다.
첨부된 파일은 윈도우 탐색기 기본값의 경우 실행 파일(.exe)이 아닌 압축 파일(.zip)로 오해하도록 할 목적으로 알집(ALZip) 압축 파일 아이콘 모양을 하고 있는 것이 특징입니다.
참고로 해당 파일(MD5 : 9b650ec21cdf1d06ccec6f419bae3f29)에 대하여 AVG 보안 제품에서는 BackDoor.Generic14.CCWL (VirusTotal : 9/42) 진단명으로 진단되고 있습니다.
해킹된 블로그에 글을 작성한 유포자는 대량의 네이버 아이디(ID)를 동원하여 덧글과 공감에 조작을 통해 검색 상단에 노출되도록 시도한 흔적이 있습니다.
파일을 다운로드한 사용자가 알집(ALZip) 아이콘 모양을 보고 압축 파일로 생각하여 클릭을 시도할 경우 백그라운드 방식으로 설치가 진행되며 다음과 같은 파일을 설치합니다.
C:\Program Files\wLauncherSetup2
C:\Program Files\wLauncherSetup2\wLauncherSetup2
C:\Program Files\wLauncherSetup2\wLauncherSetup2\Uninstall.exe
C:\Program Files\wLauncherSetup2\wLauncherSetup2\Uninstall.ini
C:\Program Files\wLauncherSetup2\wLauncherSetup2\wLauncherSetup2.zip
C:\WINDOWS\system32\umvlmz.dll
- MD5 : 55a827a06bbe5f9c2c67e5262957f507
- AhnLab V3 : Win-Trojan/Dllbot.132096.C (VirusTotal : 20/42)
설치가 완료된 시점에서 사용자 PC에 설치된 압축 프로그램(※ 예 : 알집(ALZip), 7-Zip, WinRAR 등)이 실행되는 동작을 확인할 수 있으며, 이는 사용자가 다운로드한 알집(ALZip) 아이콘 모양을 한 파일을 클릭하여 압축 프로그램이 동작한 것처럼 사용자를 속이는 행위로 판단됩니다.
이런 일련의 설치 과정은 백그라운드 방식으로 진행되어 실제 사용자 눈에는 보이지 않지만, 다운로드된 알집(ALZip) 아이콘 모양을 한 파일을 실행하였을 경우 "Nateon(숫자).exe" 패턴을 가진 파일이 생성되어 악성 파일을 설치하는 동작을 확인할 수 있습니다.
참고로 해당 파일(Nateon2.exe / MD5 : f14f205e828dcdf9afd95458fd8c4b44)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.Dllbot (VirusTotal : 13/42) 진단명으로 진단되고 있습니다.
- C:\WINDOWS\system32\umvlmz.dll
- C:\WINDOWS\system32\umvlmzr.dll
- C:\WINDOWS\system32\phqghu.dll
해당 파일은 시스템 폴더에 다양한 이름의 악성 dll 파일을 생성한 후 자가 삭제 처리되도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
감염된 PC는 서비스에 Messenger 이름으로 서비스를 등록하여 시스템 시작시 svchost.exe 프로세스에 umvlmz.dll 파일을 추가하여 다음과 같은 연결을 시도합니다.
연결된 정보를 확인해보면 미국(USA)에 위치한 "98.126.217.40 :5005" C&C 서버에 시스템 정보(컴퓨터 이름, OS, 서비스 팩 여부)를 전송하며 접속 유지 상태를 지속하고 있습니다.
이를 통해 사용자가 PC를 이용하는 과정에서 특정 웹 사이트(온라인 게임 등)에 접속할 경우 추가적인 명령을 통한 정보 유출 등의 악의적 동작이 예상됩니다.
사용자 입장에서는 블로그 첨부 파일을 통해 설치한 프로그램이 제어판의 "wLauncherSetup2 1.00" 삭제 항목을 통해 삭제가 이루어지는 정상적인 프로그램으로 오해할 수 있지만, 시스템 폴더에 심어진 악성 dll 파일은 지속적으로 사용자 PC를 감시하여 다양한 피해를 유발할 수 있습니다.
감염된 사용자의 경우 수동으로 문제 해결을 위해서는 다음의 절차에 따라 진행하시기 바랍니다.
(1) 실행창에 [sc stop "Messenger"] → [sc delete "Messenger"] 명령어를 차례대로 입력하여 실행하시기 바랍니다.
이를 통해 등록된 서비스 중지 및 삭제를 자동으로 하실 수 있으며, 반드시 시스템 재부팅을 진행하시기 바랍니다.
(2) 시스템 재부팅 완료 후 "C:\WINDOWS\system32\umvlmz.dll" 파일을 찾아 수동으로 삭제하시기 바랍니다.
모든 절차가 완료된 사용자는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 진행하시기 바라며, 해당 악성코드의 생성 파일이 다양하며 서비스 등록값도 차후 변경될 수 있으므로 다음과 같은 방식으로 시스템 점검을 해보시는 것도 권장합니다.
▷ Windows Sysinternals Autoruns 이용한 수상한 서비스 등록값을 찾는 방법 (2011.2.17)
사용자 몰래 설치된 악성 dll 파일을 서비스에 등록하여 동작하게 제작된 경우 Autoruns 프로그램을 통해 악성 프로그램(파일)을 찾는 방법이므로 잘 활용해 보시기 바랍니다.
마지막으로 네이버(Naver), 다음(Daum), 티스토리(Tistory), 이글루스(Egloos) 등 국내 유명 블로그에 첨부 파일 또는 링크를 통해 파일 다운로드를 제공하는 게시글 상당수가 악성 파일 설치 목적으로 변질된 경우를 쉽게 발견할 수 있으므로 절대로 블로그에서 파일 다운로드를 하지 않는 것이 가장 안전합니다.