최근 국내에서 만들어진 공개 자료실형 게시판에 등록된 중국(China)산 TV 드라마 방송 프로그램 용(龍)TV를 이용하여 악성코드를 심는 유포 행위를 확인하였습니다.
유포 사이트에서는 그림과 같이 용(龍)TV 설치 파일(MD5 : b15ef6f19f5b5ea68328bec6768d3d86)을 다운로드하도록 제공하고 있으며, 용(龍)TV는 중국 웹 호스팅을 이용하여 국내 TV 드라마를 그리드(Grid) 방식으로 제공하는 프로그램으로 확인되고 있습니다.
참고로 해당 설치 파일에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.
사용자가 해당 첨부 파일을 다운로드하여 실행할 경우 그림과 같은 용(龍)TV 설치를 위한 이용약관 창을 생성하며, 이 과정에서 백그라운드 방식으로 다음과 같은 악성 파일을 다운로드하여 설치를 진행합니다.
용(龍)TV 프로그램의 설치 여부와 상관없이 국내에서 등록된 "ckp13.net" 업데이트 서버로부터 다운로드된 yongm.exe 파일은 현재 2종의 변종이 확인되고 있습니다.
- h**p://****.ckp13.net/files/yongm.exe (MD5 : 0240f33a5b6a35e980b0bfc4a042f550) - BitDefender : Gen:Variant.Graftor.35581 (VirusTotal : 10/42)
- h**p://****.ckp13.net/files/yongm.exe (MD5 : 606aec5ef77796c2f98e1a93c75b0b95) - AhnLab V3 : ASD.Prevention (VirusTotal : 19/42)
또한 이 과정에서 국내에서 등록된 "windownum.com" 서버에 설치 PC의 Mac Address 값 체크를 통한 카운터(Counter)를 확인하는 동작을 확인할 수 있습니다.
[생성 폴더 / 파일 및 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nsb25.tmp\YongTVSetup2012061401.exe
C:\Program Files\etfhqysci
C:\Program Files\etfhqysci\etfhqysci.dll
- MD5 : 282d39bca6f75efdefe4b1601592b5bc
- AhnLab V3 : Backdoor/Win32.Agent (VirusTotal : 15/42)
[생성 레지스트리 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\etfhqysci
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ETFHQYSCI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\etfhqysci
생성 폴더를 확인해보면 최초 설치 파일 실행을 통해 사용자 몰래 다운로드된 파일은 "C:\Program Files\etfhqysci" 폴더 내에 etfhqysci.dll 파일을 추가하는 동작을 확인할 수 있습니다.
또한 임시 폴더에 생성된 YongTVSetup2012061401.exe 파일은 이용약관 제시를 통해 용(龍)TV 프로그램을 설치할 목적입니다.(※ 해당 분석글에서는 용(龍)TV가 목적이 아니라므로 해당 프로그램에 대한 정보는 생략합니다.)
이렇게 생성된 etfhqysci.dll 파일은 서비스에 "etfhqysci" 항목을 등록하여 시스템 시작시마다 svchost.exe 프로세스를 통해 악의적인 동작을 진행합니다.
▷ 제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16)
참고로 최근 위와 같은 유사한 패턴을 가진 방식으로 컴오프(Comoff) 프로그램을 통해 유포되던 사례가 있었으므로 참고하시기 바랍니다.
해당 악성 서비스 "etfhqysci"는 시스템 시작시 암호화된 ckp13.net 업데이트 서버에 접속하여 추가된 악성 파일을 다운로드하여 받아오는 것을 확인할 수 있습니다.
- h**p://****.ckp13.net/files/cfuwnkaaic.exe (MD5 : e8812b926284490e93df123b2a55725d) - AhnLab V3 : ASD.Prevention (VirusTotal : 7/42)
C:\Program Files\cfuwnkaaic
C:\Program Files\cfuwnkaaic\cfuwnkaaic.dll
- MD5 : fa2b9f9047232d2d008e201075902b70
- AhnLab V3 : Backdoor/Win32.Agent (VirusTotal : 6/42)
C:\WINDOWS\Temp\cfuwnkaaic.exe
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\cfuwnkaaic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CFUWNKAAIC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cfuwnkaaic
추가적으로 다운로드된 파일은 윈도우 임시 폴더에 cfuwnkaaic.exe 파일로 생성되어, "C:\Program Files\cfuwnkaaic" 폴더에 악성 cfuwnkaaic.dll 파일을 설치합니다.
해당 cfuwnkaaic.dll 파일은 서비스에 "cfuwnkaaic" 항목으로 등록하여 시스템 시작시마다 svchost.exe 프로세스를 이용하여 이전과 마찬가지 패턴으로 업데이트 서버로부터 추가적인 악성 파일을 다운로드합니다.
- h**p://****.ckp13.net/file/etararjgwis.exe (MD5 : 9037efd05e126c1198c04bfda7da965f) - ESET NOD32 : a variant of Win32/Adware.Kraddare.EX (VirusTotal : 4/42)
C:\Program Files\etararjgwis
C:\Program Files\etararjgwis\etararjgwis.dll
- MD5 : 4cec51293e2dd164d05656ec5eaabc03
- ESET NOD32 : a variant of Win32/Adware.Kraddare.EX (VirusTotal : 4/42)
C:\WINDOWS\Temp\etararjgwis.exe
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\etararjgwis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ETARARJGWIS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\etararjgwis
이처럼 보안 제품의 진단을 회피할 목적으로 지속적인 다운로드 연결 고리를 만들어 감염된 PC로 유지시킨 후, 유포자의 의도에 따라 특정 시점에서는 다양한 수익성 프로그램을 다운로드하여 금전적 이익을 창출할 수 있게 됩니다.
▷ Windows Sysinternals Autoruns 이용한 수상한 서비스 등록값을 찾는 방법 (2011.2.17)
이런 방식의 대규모 악성 서비스 등록 행위는 Windows Sysinternals Autoruns 프로그램을 이용하여 확인할 수 있는 방법을 소개한 적이 있으므로 내용을 참고하여 응용해 보시기 바랍니다.
어느 날 자신도 모르게 광고 프로그램, 악성코드 제거 프로그램, 유용한 프로그램으로 위장한 응용 프로그램, 개인정보 보안 솔루션 등이 설치되는 경우에는 단순히 동작 중인 프로세스, 시작 프로그램(Run)만을 점검하지 마시고, 서비스에 등록된 값과 연결된 파일 정보를 확인하여 제거하시기 바랍니다.
마지막으로 알려지지 않은 공개 자료실에 등록된 파일 또는 블로그 첨부 파일 등을 다운로드하여 설치시에는 위와 같은 악성 파일에 감염되어 지속적인 설치 구멍을 열어둘 수 있으므로 잘못된 인터넷 습관은 고치도록 하시기 바랍니다.