최근 국내에서 제작된 코덱 프로그램을 통해 배포가 이루어지고 있는 "Getggin 홈 페이지(시작 페이지) 변경 프로그램"을 통해 추가적인 악성코드를 설치하는 동작이 확인되고 있습니다.

프로그램의 배포는 2013년 1월 3일경부터 이루어지기 시작한 것으로 보이며, "Getggin 홈 페이지 변경 프로그램"의 설치 파일(MD5 : e519569d04082b1a9c5e30a04503992c)에 대하여 Microsoft 보안 제품에서는 Trojan:Win32/Comitsproc (VirusTotal : 10/46) 진단명으로 진단되고 있습니다.

다운로드된 설치 파일(getggin_x86_2.exe)은 "nzinsoft Co., ltd" 디지털 서명이 포함되어 있으며, "getggin Start Linker" 파일로 등록되어 있습니다.

참고로 프로그램이 설치되는 과정에서 특정 서버로 설치 관련 로그(Log)를 체크하는 동작을 확인할 수 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\ab73fj8ss.exe :: 시스템(S), 숨김(H) 속성 / 시작 프로그램 등록 파일
 - MD5 : e30aeb225a77dc1de2081368ac50d9f8
 - avast! : Win32:Dropper-gen [Drp] (VirusTotal : 16/46)

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL) :: 변경 전
 - Start Page = http://www.getggin.com :: 변경 후
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ab73fj8ss
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - getggin-x86 = C:\Windows\ab73fj8ss.exe

프로그램이 설치되면 시스템(S), 숨김(H) 속성값을 가진 ab73fj8ss.exe 파일을 Windows 폴더 내에 생성하여, Windows 탐색기 기본값으로는 파일의 존재를 확인할 수 없도록 하고 있습니다.(※ 해당 파일을 확인하기 위해서는 폴더 옵션 중 "보호된 운영 체제 파일 숨기기" 항목의 체크 해제 및 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하시기 바랍니다.)

프로그램이 설치된 환경에서는 웹 브라우저의 홈 페이지(시작 페이지)를 "getggin.com"으로 변경하는 동작을 확인할 수 있습니다.

해당 웹 사이트는 2012년 9월 7일 등록되어 있지만, 등록자는 자신을 숨길 목적으로 정보를 보호하고 있습니다.(※ 해당 도메인 정보를 체크하는 이유는 추가적으로 설치되는 악성코드와 연관되었을 것으로 추정되기 때문입니다.)

하지만 해당 웹 사이트에 포함된 일부 인터넷 쇼핑몰 바로가기 링크에는 특정 광고 코드(cl.ilikeclick.com)가 추가되어 있으므로 자신을 완벽하게 숨기지는 못했을 것이라 판단됩니다.

생성된 "C:\Windows\ab73fj8ss.exe" 파일을 확인해보면, 자신을 시작 프로그램으로 등록하여 Windows 시작시 특정 서버로부터 추가적인 파일 다운로드 및 시작 프로그램(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) 레지스트리 값에 자신(getggin-x86)을 재등록하는 동작을 하도록 제작되어 있는 것을 확인할 수 있습니다.

실제로 "C:\Windows\ab73fj8ss.exe" 파일이 실행되면 특정 서버(server3369.*****.com:****)로부터 myclub4.exe 파일을 다운로드하는 동작을 확인할 수 있습니다.

 

  토스트팝(ToastPop) 광고 프로그램으로 위장한 악성코드 유포 주의 (2012.11.25)

 

참고로 확인된 해당 서버 IP(182.162.136.170)는 이전에 비슷한 방식으로 유포하던 악성코드에서 이용하였던 것이며, 다운로드된 파일에 대하여 BitDefender 보안 제품에서는 Gen:Trojan.Heur.RP.NzWaaGBIZZmi (VirusTotal : 10/46) 진단명으로 진단되고 있습니다.

 

또한 그 외에도 202.exe(MD5 : 0de8b52c3bc0d6764bd26e8d557ea3c7)도 존재하며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Downloader/Win32.Delf (VirusTotal : 8/45) 진단명으로 진단되고 있습니다.

 

[추가 다운로드 파일 생성 정보]

 

C:\Windows\fg3c4sjn0s.exe
 - MD5 : 250935b85a9836fcf2bb032b40d1b226
 - BitDefender : Gen:Trojan.Heur.RP.NzWaaGBIZZmi (VirusTotal : 10/46)

 

※ 해당 파일은 "(10자리 영문+숫자).exe" 패턴으로 생성되는 파일명을 가집니다.

다운로드된 myclub4.exe 파일은 "C:\Windows\fg3c4sjn0s.exe" 파일로 복사되며, 파일의 스탬프에는 2012년 8월 8일경 제작된 것으로 등록되어 있습니다.(※ 해당 파일은 제작툴이 존재할 것으로 보이며, 실제 배포(2013년 1월 6일 오후 4시경)와는 다른 생성 날짜로 등록되어 있는 것으로 추정됩니다.)

생성된 파일의 실제 동작시에는 사용자 시스템 환경을 체크하여 가상(VM) 환경에서는 실행되지 않도록 보호되어 있는 것을 확인할 수 있었습니다.


하지만 과거 사례를 토대로 유추해보면 사용자 몰래 다운로드되어 실행된 해당 악성코드는 시스템 폴더에 악성 dll 파일을 추가하여 특정 온라인 게임(Poker 등) 정보를 수집하여 금전적 수익을 얻을 것으로 보입니다.

 

이전의 토스트팝(ToastPop) 광고 프로그램과 마찬가지로 유포자는 주말을 기점으로 사용자 동의를 통해 설치되는 프로그램을 이용하여 배포를 하고 있으므로 앞으로도 이런 프로그램에 감염되지 않도록 프로그램 설치시 매우 주의하시기 바랍니다.

 

또한 웹 브라우저를 실행시 "getggin.com" 홈 페이지로 변경되는 사용자는 반드시 추가적인 감염이 있을 수 있으므로, 안티 바이러스(Anti-Virus) 제품을 이용하여 정밀 검사를 하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..