본문 바로가기

벌새::Analysis

토스트팝(ToastPop) 광고 프로그램으로 위장한 악성코드 유포 주의 (2012.11.25)

반응형

주말을 이용하여 국내 수익성 프로그램 배포 목적으로 제작된 프로그램을 통해 사용자 동의 절차를 거쳐 악의적인 기능을 수행할 것으로 추정되는 악성 파일을 설치하는 정황이 포착되었습니다.

 

수집된 정보를 토대로 추정해보면 해당 악성코드는 최소 3곳 이상에서 유포되고 있는 것으로 보이며, 그 중 확인된 배포 방식 및 간략한 정보를 살펴보도록 하겠습니다.

확인된 유포 방식은 토스트팝(ToastPop) 검색 도우미 프로그램으로 위장하여 국내에서 등록된 "asasgo.com" 서버에 등록된 설치 파일(toastpop004.exe)을 받아오도록 등록되어 있습니다.

다운로드되는 파일 속성값을 살펴보면 "FIle Extract Utility"로 제품 이름이 등록되어 있으며, 원본 파일명은 "N204.exe"로 등록되어 있습니다.

 

참고로 해당 설치 파일(MD5 : 14bcb73313fb4b249de7f47f4c4b1f2d)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Scar (VirusTotal : 15/43) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\d57BJSail555.exe :: 시스템(S), 숨김(H) 속성 / 시작 프로그램 등록 파일
 - MD5 : 14bcb73313fb4b249de7f47f4c4b1f2d
 - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 15/43)

다운로드된 파일은 Windows 폴더 내에 시스템(S), 숨김(H) 속성값으로 등록되어 자가 복제가 이루어지며, 해당 파일을 확인하기 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일 및 폴더 표시"에 체크를 하셔야 볼 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\d57BJSail555
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - toastpop004 = C:\WINDOWS\d57BJSail555.exe

생성된 레지스트리 값을 확인해보면 최초 감염이 이루어진 환경에서 추가적인 다운로드가 이루어지는 것이 아니라, 시스템 재부팅 과정에서 시작 프로그램으로 등록된 "C:\WINDOWS\d57BJSail555.exe" 파일을 통해 다운로드 동작이 발생합니다.

 

참고로 받아오는 정보를 확인해보면 국내 IP(182.162.136.170) 서버에서 n204.exe 파일을 다운로드하도록 제작되어 있습니다.

실제 재부팅 동작에서 n204.exe 악성 파일을 추가적으로 다운로드하는 동작을 확인할 수 있으며, 해당 파일(MD5 : bf3ff608dc126697e993bf861d3084d3)에 대하여 AhnLab V3 보안 제품에서는 Win-Trojan/Agent.1633792 (VirusTotal : 22/44) 진단명으로 진단되고 있습니다.

참고로 안랩(AhnLab)에서 제공하는 악성코드 TOP10(상세 진단명) 순위에서도 Win-Trojan/Agent.1633792 진단명은 높은 순위를 차지하고 있으며, 해당 악성 파일은 2012년 11월 20일경 최초 보고된 것으로 파악됩니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\ez1xhqwwh7.exe
 - MD5 : bf3ff608dc126697e993bf861d3084d3
 - AhnLab V3 : Win-Trojan/Agent.1633792 (VirusTotal : 22/44)

 

※ 해당 파일은 시스템 시작시마다 반복적으로 다운로드 하는 과정에서 "(10자리 영문+숫자).exe" 패턴의 랜덤(Random)한 파일명을 가집니다.

생성된 (10자리 영문+숫자).exe 파일은 실행 과정에서 사용자 PC 환경을 체크하여 가상(VM) 환경일 경우 분석을 방해할 목적으로 동작하지 않도록 제작되어 있습니다.

 

  한게임 포커(Poker)를 노리는 백도어 유포 주의 (2012.7.12)

 

위와 같은 동작은 이전 한게임 포커 온라인 게임을 표적으로 하는 악성 프로그램 유포에서도 확인된 것으로 실제 이번 악성 파일이 어떤 목적으로 제작되었는지는 추가적으로 확인해봐야 하지만 유사한 변종이 아닐까 추정됩니다.

 

이번 유포에 이용된 프로그램 이름을 언급할 수는 없지만, 사용자 PC에 설치된 광고성 프로그램이 안티 바이러스(Anti-Virus) 프로그램의 진단 정책에 부합하지 않는다는 점을 이용하여 과거부터 유포에 활용되고 있으므로 사용자들이 잘 판단하여 이들 프로그램을 삭제하시는 것을 권장합니다.

728x90
반응형