최근 국내 제휴 프로그램 중 "bkpops 1.0" 프로그램이 설치될 경우 사용자 몰래 추가된 악성 프로그램을 통해 주기적으로 외부 서버로부터 추가적인 악성 파일을 다운로드 시도하는 문제가 이슈가 되고 있습니다.

 

  국내 악성코드 : Windows todayx86 (2012.11.29)

 

  국내 악성코드 : Windows ctpop (2013.2.19)

 

  국내 악성코드 : hcpop win (2013.4.30)

 

  국내 악성코드 : shcpop 1.0 (2013.9.6)

 

해당 악성코드는 기존의 투데이팝 계열의 변종으로 확인되고 있으며, 공격자는 주기적으로 추가 다운로드 파일 및 서버를 변경하는 것으로 보입니다.

대표적인 유포 방식을 살펴보면 국내 제휴 프로그램의 전형적인 유포 방법으로 알려진 스팸(Spam) 블로그를 통해 인터넷 사용자들이 많이 찾는 소프트웨어의 설치 파일을 다운로드할 수 있도록 하는 방식입니다.(※ 여전히 수많은 인터넷 사용자들은 네이버(Naver), 다음(Daum) 검색을 통해 연결된 블로그 첨부 파일 또는 링크를 통해 파일을 다운로드하는 매우 나쁜 습관을 프로그램 유통업자들은 잘 활용하고 있습니다.)

이를 통해 다운로드된 파일<MD5 : cf1468f4d2e83384cb0b1910c81ba697 - Trend Micro : TROJ_DLOADR.DQ (VT : 6/48)>을 살펴보면 "I & N" 디지털 서명과 "utildamoa file downloader" 파일 속성값이 포함되어 있습니다.

사용자가 다운로드된 파일을 실행할 경우 "유틸다모아 다운로드 런처" 창이 생성되어 사용자가 원하는 파일을 다운로드할 수 있도록 제공하고 있지만, 다운로드 리스트 영역에는 다수의 제휴 프로그램이 추가되어 최종적으로 "bkpops 1.0" 프로그램이 설치될 수 있습니다.

최초 해당 유포 사실을 확인하던 시점(2013년 10월 2일)에서는 "youn0421" 제휴 프로그램 이름으로 유포가 이루어졌지만, "bkpops 1.0" 프로그램 설치 파일 다운로드<MD5 : 65096a2ae2165b1564868fe86a0a601c - BitDefender : Dropped:Application.Generic.573760 (VT : 12/47)>가 차단됨에 따라 2013년 10월 3일경 제휴 프로그램 목록에서 빠진 것으로 추정됩니다.(※ 이 글에서는 당시 유포에 사용된 설치 파일(part03.exe)을 이용하여 정보를 공개해 드립니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\bkpop
C:\Program Files\bkpop\bk.gif
C:\Program Files\bkpop\bkpops.exe :: 시작 프로그램 등록 파일
C:\Program Files\bkpop\uninst.exe :: bkpops 1.0 프로그램 삭제 파일

 

C:\Program Files\UTECH
C:\Program Files\UTECH\bkcount.exe :: 메모리 상주 프로세스
C:\Program Files\UTECH\bksvc.exe :: 서비스(bkpops) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\UTECH\bkcount.exe
 - MD5 : 1bc38c2d074305f9f1a7d1ab1dff90c7
 - Avira : HEUR/Malware (VT : 1/47)

 

C:\Program Files\UTECH\bksvc.exe
 - MD5 : 10eed6f7b2bee4a430d904db4c439e8e
 - BitDefender : Application.Generic.573760 (VT : 13/48)


1. "bkpops 1.0" 프로그램 : "C:\Program Files\bkpop" 폴더 정보

"bkpops 1.0" 프로그램이 설치되면 "C:\Program Files\bkpop" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\bkpop\bkpops.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.(※ 파일 중 bk.gif 파일은 "라이브 바둑이" 도박과 관련된 이미지 파일이 포함되어 있는 것이 특징입니다.)

자동 실행된 bkpops.exe 파일은 홍콩(HongKong)에 위치한 IP 서버(112.121.188.18)로부터 팝업 링크값을 체크하며, 테스트 당시에는 시스템 시작시 자동으로 네이버(Naver)가 오픈되는 동작은 확인되지 않고 있습니다.

 

2. 사용자 몰래 추가 설치되는 "C:\Program Files\UTECH" 폴더 정보

또한 "bkpops 1.0" 프로그램 설치시 삭제 기능을 지원하지 않는 악의적 기능을 가진 파일을 "C:\Program Files\UTECH" 폴더에 추가적으로 생성합니다.

이렇게 설치된 환경에서 "bkpops(bkpops 서비스)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\UTECH\bksvc.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(bksvc.exe)은 홍콩(HongKong)에 위치한  IP 서버(112.121.188.19)에 설치 카운터(Counter) 정보를 체크하며, "C:\Program Files\UTECH\bkcount.exe" 파일을 추가 로딩하여 메모리에 상주시킵니다.

메모리에 상주하게 된 bkcount.exe 파일은 3분마다 주기적으로 홍콩(HongKong)에 위치한 IP 서버(112.121.188.20)로부터 등록된 악성 파일을 Internet Explorer 웹 브라우저를 통해 다운로드를 시도하기 시작합니다.

특이한 점은 일반적으로 악성코드 감염을 통해 외부 서버에서 파일을 다운로드 시도할 경우에는 백그라운드 방식으로 사용자 몰래 다운로드 및 자동 실행되어 감염이 유발되지만, 이번 사례의 경우에는 웹 브라우저를 통한 다운로드 창 생성을 통해 사용자가 직접 다운로드 및 실행을 하도록 유도한 점이 특징입니다.

특히 분석 당시 다운로드를 시도하는 파일(ftp:**101.78.195.199/ms.exe)은 FTP 서버에 존재하지 않는 상태로 인하여 실제 정상적으로 다운로드가 이루어지지 않고 있었습니다.

 

하지만 그 외에도 다수의 변종 프로그램이 존재하여 다른 서버로부터 다운로드가 이루어지는 경우가 확인되고 있습니다.(※ 추가 다운로드 파일 및 URL 주소는 공격자의 의도에 따라 수시로 변경될 수 있습니다.)

  • h**p://kanmay.cafe24.com/gfx.exe
  • h**p://211.55.29.46/u/a.exe
  • h**p://112.121.188.18/gfex.exe

추가적으로 다운로드된 악성 파일은 특정 도박성 온라인 게임을 표적으로 제작된 것으로 추정되며 관련 정보는 차후 공개해 드릴 수 있도록 하겠습니다.

 

3. "bkpops 1.0" 및 "C:\Program Files\UTECH" 프로그램 삭제 방법

 

해당 악성코드에 감염된 경우 마치 제어판을 통해 삭제할 수 있는 정상적인 프로그램처럼 제공하고 있지만, 프로그램 삭제 이후에도 악의적 기능을 가진 "C:\Program Files\UTECH" 폴더 및 파일은 지속적으로 동작이 가능합니다.

 

(1) 제어판에 등록된 "bkpops 1.0" 삭제 항목을 이용하여 "C:\Program Files\bkpop" 폴더 및 내부 파일을 삭제할 수 있습니다.

 

(2) Windows 작업 관리자를 실행하여 bkcount.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(3) "보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭하여 "관리자 권한으로 실행"하여 생성된 명령 프롬프트에 [sc delete "bkpops"] 명령어를 입력 및 실행하여 "bkpops(bkpops 서비스)" 서비스 값을 자동 삭제하시기 바랍니다.

(4) "C:\Program Files\UTECH" 폴더 및 내부 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\bkpops.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - baduk = C:\Program Files\bkpop\bkpops.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
bkpops
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bkpops

 

4. 추가 변종 프로그램 정보

 

현재 확인된 "bkpops 1.0" 프로그램에 대한 다양한 변종 프로그램이 제휴 프로그램을 통해 발견되고 있습니다.

 

(1) "youn0421.cafe**.com" 호스팅을 통한 유포

  • h**p://youn0421.cafe**.com/part01.exe (MD5 : b02a72ce7608381386b61246fcf061d3) - BitDefender : Dropped:Application.Generic.573760 (VT : 13/47)
  • h**p://youn0421.cafe**.com/part02.exe (MD5 : 1456203d2b13a85b2c45861ad22ee6b9) - AVG : Generic5.AHQM (VT : 13/48)
  • h**p://youn0421.cafe**.com/part03.exe (MD5 : 65096a2ae2165b1564868fe86a0a601c) - BitDefender : Dropped:Application.Generic.573760 (VT : 12/47)
  • h**p://youn0421.cafe**.com/part04.exe (MD5 : b5eb56d25305eff14819eadd568465a8) - ESET : a variant of Win32/Adware.Kraddare.HB (VT : 17/48)
  • h**p://youn0421.cafe**.com/part05.exe (MD5 : 1167b6e513d45c5aa1a1b45f5501ca91) - BitDefender : Dropped:Application.Generic.573760 (VT : 13/48)
  • h**p://youn0421.cafe**.com/part06.exe (MD5 : 1dcffd8ad02acd6ae60e66f88f9ea446) - AVG : Generic5.AHQM (VT : 13/48)
  • h**p://youn0421.cafe**.com/part07.exe (MD5 : 18a917e1b6a3a16fd56e75d3b180b021) - BitDefender : Dropped:Application.Generic.573760 (VT : 12/48)
  • h**p://youn0421.cafe**.com/part08.exe (MD5 : 4e136299e21021f0cae9e5606692d1a8) - ESET : a variant of Win32/Adware.Kraddare.HB (VT : 13/48)
  • h**p://youn0421.cafe**.com/part09.exe (MD5 : c32a72fa8f50c491bcdc14b00685d312) - BitDefender : Dropped:Application.Generic.573760 (VT : 13/48)
  • h**p://youn0421.cafe**.com/part10.exe (MD5 : e8ef138d31104806d8fd5945fc510ded) - AVG : Generic5.AHQM (VT : 13/48)

(2) "youn1104.cafe**.com" 호스팅을 통한 유포

또 다른 유포 경로를 확인해보면 "줌파일 다운로더" 창을 통해 추가된 제휴 프로그램 중 "그리드" 이름으로 등록된 프로그램을 통해 유포가 이루어지고 있습니다.

  • h**p://youn1104.cafe**.com/ace01.exe (MD5 : a80ba5d0eb64208f4b439649e073cfeb) - BitDefender : Dropped:Application.Generic.573760 (VT : 13/48)
  • h**p://youn1104.cafe**.com/ace02.exe (MD5 : 737c154d22c3f45abd9f0485c5e8a9ca) - AVG : Generic5.AHQM (VT : 13/48)
  • h**p://youn1104.cafe**.com/ace03.exe (MD5 : bec80cd3986baa71f77c2180304fe8b1) - ESET : a variant of Win32/Adware.Kraddare.HB (VT : 15/48)
  • h**p://youn1104.cafe**.com/ace04.exe (MD5 : 7f2024bdafdaa35fec4106d6a83a9c58) - Avira : HEUR/Malware (VT : 13/48)
  • h**p://youn1104.cafe**.com/ace05.exe (MD5 : 672e5c08d9951b3aac0ddffd2e4229b3) - BitDefender : Dropped:Application.Generic.573760 (VT : 13/48)
  • h**p://youn1104.cafe**.com/ace06.exe (MD5 : ede019368e422661fa2dad71a4d54a02) - F-Secure : Application.Generic.573760 (VT : 14/48)
  • h**p://youn1104.cafe**.com/ace07.exe (MD5 : c61da8a06a3a3ccb1b7de0cb676f217b) - AVG : Generic5.AHQM (VT : 13/48)
  • h**p://youn1104.cafe**.com/ace08.exe (MD5 : 3f25ffed300faa8d01c254310af1a8c8) - ESET : a variant of Win32/Adware.Kraddare.HB (VT : 13/48)
  • h**p://youn1104.cafe**.com/ace09.exe (MD5 : 2e474e5c55caf548052a2eee3ea4b3b4) - Avira : HEUR/Malware (VT : 13/48)
  • h**p://youn1104.cafe**.com/ace10.exe (MD5 : c1cf8bb07c2c34a3706e4eca34a7a53c) - BitDefender : Dropped:Application.Generic.573760 (VT : 13/48)

(3) 알약(ALYac) 무료 백신의 BitDefender 진단 문제

 

해당 악성코드의 다양한 변종에 대해서 BitDefender 엔진에서는 Dropped:Application.Generic.573760 진단명으로 일관되게 모두 진단이 이루어지고 있으므로 알약(ALYac) 무료 백신 사용자는 기본적으로 감염이 이루어지지 않아야 정상입니다.

하지만 알약(ALYac) 무료 백신이 설치된 환경에서 테스트를 해보면 진단없이 정상적으로 설치되어 악의적인 기능을 무리없이 진행하는 것을 확인할 수 있었습니다.

 

이런 알약(ALYac)의 과감한 진단 필터링 문제는 공격자 입장에서는 BitDefender 엔진이 진단하더라도 손쉽게 유포를 할 수 있으리라 보여집니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..