최근 인터넷 사용자들이 많이 찾는 프로그램을 게시한 블로그의 첨부 파일을 통해 파일을 다운로드하는 과정에서 사용자 몰래 백도어(Backdoor)를 설치하는 사례를 확인하였습니다.
해당 첨부 파일(MD5 : eaadceaa62145301da0fc9c9088e0b0b)의 특징을 살펴보면 국내에서 운영되는 FreePDS 공개 자료실에서 배포하는 파일로 추정되며, "시큐미디어" 디지털 서명이 포함되어 있는 것이 특징입니다.
참고로 해당 공개 자료실은 운영 방식은 블로그 등의 첨부 파일을 통해 다운로드된 파일을 실행시 자료실에 등록된 파일을 다운로드할 수 있는 창이 생성되며, 이 과정에서 추가적인 제휴(스폰서) 프로그램이 다수 포함되어 있습니다.
하지만 이번 감염 사례에서는 추가된 제휴(스폰서) 프로그램이 아닌 "FreePDS 공개 자료실의 개인 파일 보관함에 등록된 변조된 패스트핑(FastPing) 프로그램의 설치 파일"을 다운로드하여 설치되는 과정에서 사용자 몰래 설치가 이루어지고 있는 것으로 확인되고 있습니다.(※ 해당 공개 자료실 운영자님의 말씀에 따르면 공개 자료실 공식 등록 파일이 아닌 개인 파일 보관함에 등록된 특정 회원의 파일로 확인되었다고 밝히고 있으므로 참고하시기 바랍니다.)
해당 다운로더 창에서는 사용자가 다운로드하려는 패스트핑(FastPing) 프로그램 이외에 우측 하단에 10종의 제휴(스폰서) 프로그램이 추가적으로 숨어 있는 방식입니다.
▷ <처리의 블로그> 사사키 노조미(Sasaki Nozomi), 노출 동영상으로 위장한 악성코드 (2012.8.6)
freepds launcher control, wingsearch_2, popupad, WinsCare, RightClick, Addendum sidebar, 윈도우부스터, 추천사이트 도우미, 노티피케이션, IEBacon
참고로 해당 다운로더 창은 보안 전문가 처리님이 실시간 검색 이슈(사사키 노조미)를 이용한 유포에서 소개한 것과 동일하므로 참고하시기 바랍니다.
사용자가 운이 좋아서 숨어있는 제휴(스폰서) 프로그램의 체크 박스를 모두 해제를 한 상태로 패스트핑(FastPing) 프로그램을 다운로드할 경우를 가정한 경우, 다음과 같은 방식으로 다운로드 및 파일 실행이 이루어집니다.
- h**p://free***.com/pds_download.php?ind=*** (MD5 : f7967b11ea60f733840dd4234cd3167a) - AhnLab V3 : Dropper/Win32.Mudrop (VirusTotal : 6/42)
다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\My Documents\fastpingsetup.exe" 위치에 패스트핑(FastPing) 프로그램 아이콘 모양으로 생성되어 자동으로 실행되도록 구성되어 있습니다.
자동 실행된 파일은 그림과 같은 정상적인 패스트핑(FastPing) 설치 화면을 제시하며, 이 과정에서 백그라운드 방식으로 추가적인 악성 파일을 실행하여 자동으로 감염이 이루어집니다.
C:\Program Files\Company\fastpingsetup.exe\P1.exe :: 자가 삭제
- MD5 : ec6e5046f06f8b7a78ac0e19026742cb
- AhnLab V3 : Dropper/Win32.PcClient (VirusTotal : 9/42)
C:\WINDOWS\system32\cawbaoc.dll :: 시스템(S), 숨김(H) 속성
- MD5 : abddc7d38be79bf0ef783ae727d3e2b6
- AhnLab V3 : Trojan/Win32.PcClient (VirusTotal : 10/42)
※ 해당 파일은 (7자리 영문).dll 형태입니다.
최초 "C:\Program Files\Company\fastpingsetup.exe\fastpingsetup.exe" 파일을 실행하여 화면상으로는 패스트핑(FastPing) 설치 단계를 제시하지만, 이 과정에서 P1.exe 악성 파일을 생성하여 시스템 폴더에 랜덤(Random)한 dll 파일을 생성한 후 자신은 삭제 처리가 이루어집니다.
생성된 악성 dll 파일은 정상적인 Messenger 서비스를 변조하여 자신을 시스템 시작시 자동으로 실행하도록 수정하며, 다음과 같은 외부 연결을 통해 추가적인 악의적 기능을 수행할 수 있습니다.
시스템 폴더에 생성된 랜덤(Random)한 dll 파일(cawbaoc.dll)은 일본(Japan)에 위치한 고정된 "103.9.172.185" C&C 서버와 30초 간격으로 연결을 유지하고 있습니다.
이를 통해 감염된 PC의 컴퓨터 이름, 운영 체제(OS) 종류에 대한 정보 수집 및 공격자의 명령에 따라 추가적인 악의적 기능을 수행할 수 있습니다.
감염된 환경에서는 백신을 이용한 치료에 문제가 있는 경우 다음과 같은 절차에 따라 수동으로 문제를 해결할 수 있습니다.
(1) 실행창에 [sc stop "Messenger"] 명령어를 입력하여 실행 중인 Messenger 서비스 중지하기
(2) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\
Parameters\ServiceDll" 값 체크하기
감염 전 Messenger 서비스 값
감염되지 않은 정상적인 Messenger 서비스 값에 등록된 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\
Parameters\ServiceDll" 값은 "%SystemRoot%\System32\msgsvc.dll" 입니다.
감염 후 Messenger 서비스 값
하지만 감염이 이루어진 환경에서는 해당 값이 "C:\WINDOWS\system32\cawbaoc.dll"와 같은 랜덤(Random)한 dll 파일로 등록되어 있으므로 해당 dll 파일명을 기억하시기 바랍니다.
(3) 윈도우 탐색기를 실행하여 확인된 dll 파일을 찾아 파일 확장자명을 변경하시기 바랍니다.(예 : cawbaoc.dll → cawbaoc.dll-Malware)
파일을 찾을 때에는 반드시 폴더 옵션의 "보기" 탭에서 "보호된 운영 체제 파일 숨기기" 체크 해제 및 "숨김 파일 및 폴더 표시"에 체크를 하시고 파일을 찾으시기 바랍니다.
(4) 레지스트리 편집기(regedit)를 실행하여 변경된 Messenger 서비스 값을 수정하시기 바랍니다.
- Start = 4 :: 변경 전
- Start = 2 :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters
- ServiceDll = %SystemRoot%\System32\msgsvc.dll :: 변경 전
- ServiceDll = C:\WINDOWS\system32\cawbaoc.dll :: 변경 후
※ "변경 후" 값을 "변경 전" 값으로 수정하시기 바랍니다.
(5) 시스템 재부팅 이후 "C:\WINDOWS\system32\(7자리 영문).dll-Malware" 파일을 찾아 수동으로 삭제하시기 바랍니다.
위와 같이 이번 사례의 경우 추가된 제휴(스폰서) 프로그램 설치로 인한 감염이 아닌 변조된 정상적인 소프트웨어 파일을 통해 감염을 유발하는 사례를 확인할 수 있습니다.
해당 FreePDS 공개 자료실의 다른 파일은 위와 같은 감염이 확인되지 않고 있지만, "개인이 파일 보관함에 등록한 패스트핑(FastPing) 설치 파일"의 경우에는 변조된 상태로 배포가 이루어지고 있는 것으로 보입니다.
그러므로 신뢰할 수 없는 블로그 첨부 파일 및 공개 자료실 파일은 함부로 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.
▷ Nateon(숫자).exe 파일을 이용한 백도어(Backdoor) 유포 주의 (2012.6.7)
이번 파일을 살펴보면서 확인해보니 이전에 블로그를 통해 유포되었던 Nateon(숫자).exe 파일을 이용한 악성코드와 유사성이 강하며, 당시 소개한 치료 방법이 잘못 전달되었음을 확인하였습니다.(※ 정상적인 Messenger 서비스 값을 삭제하면 안되는데...)