2014년 1월 10일~11일경에 국내 동영상 플레이어 초코플레이어(ChocoPlayer) 서버에 등록된 파일을 통해 인터넷뱅킹 악성코드가 유포되었던 적이 있다는 정보가 공개한 적이 있습니다.
▷ <nProtect 대응팀 공식 블로그> [주의]메모리해킹, 애드웨어와 동영상 플레이어 서버 통해서 지속전파 (2014.1.13)
당시 정보에서는 취약점(Exploit) 또는 특정 프로그램을 통해 유포가 이루어졌을 것으로 추정되고 있었는데, 개인적으로 확인을 하던 중 국내에서 제작된 광고 기능이 포함된 만화 뷰어 프로그램을 통해 유포가 이루어지고 있는 부분을 확인하였습니다.
문제의 무료만화(FreeWebToon) 프로그램은 2012년 12월경에 블로그를 통해 소개한 적이 있는 "국내 악성코드 : Micro WebViewer Application ActX" 분석글을 통해 자세하게 기능을 알 수 있습니다.
현재 시점에서 확인을 해보면 2013년 9월까지 프로그램 업데이트가 이루어졌던 것으로 추정되며, 최근에는 배포되고 있는 프로그램으로는 보이지 않습니다.
하지만 해당 만화 뷰어 프로그램이 설치된 사용자의 경우에는 다음과 같은 방식으로 시스템 감염이 발생할 가능성이 있습니다.
테스트에서는 현재 다운로드 가능한 설치 파일<SHA-1 : 7a8710b6aa91bac2e75a4280a5eaa74172a8869c - Avira : Adware/Agent.283088 (VT : 10/48)>을 이용하여 진행하였습니다.
"Micro WebViewer Application ActX" 프로그램은 "C:\Program Files\FreeWebToon" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\FreeWebToon\FWTUpdate.exe" 파일<SHA-1 : f589c449312b2f37e182ca5407367368da5997ea - AhnLab V3 : Trojan/Win32.ADH (VT : 16/48)>을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 제작되어 있습니다.
자동 실행된 FWTUpdate.exe 파일은 특정 서버로부터 업데이트 정보를 체크하며, "2013091203" 업데이트 버전 정보를 참고하여 초코플레이어(ChocoPlayer) 서버에 등록된 악성 파일을 다운로드 시도하고 있습니다.
- 2014년 1월 10일 : h**p://www.chocoplayer.com/board/data/php/lg1.exe (SHA-1 : 07a3a222494221b70be4255902dd6916cd159843) - AhnLab V3 : Trojan/Win32.Hupe (VT : 36/48)
- 2014년 1월 11일 : h**p://www.chocoplayer.com/board/data/php/lg.exe (SHA-1 : 2c513af1758b5257e82570e50c3488e44a98a992) - nProtect : Trojan/W32.KRBanker.334638 (VT : 36/47)
위와 같은 업데이트 기능을 통해 2014년 1월 10일~11일경에 최소 2종의 악성 파일이 자동 다운로드 및 실행되었을 것으로 판단됩니다.
이렇게 감염된 시스템에서는 인터넷뱅킹 정보를 외부로 유출하는 기능을 가진 악성 파일이 설치되어 금전적 피해를 유발할 수 있다고 알려져 있습니다.
- C:\WINDOWS\system32\esetenp.dll
- C:\WINDOWS\system32\godlion.dll
- C:\WINDOWS\system32\kakubi.dll
- C:\WINDOWS\system32\kakune.dll
- C:\WINDOWS\system32\kakutk.dll
- C:\WINDOWS\system32\kerogod.dll
- C:\WINDOWS\system32\version.dll
- C:\WINDOWS\system32\verslon.dll
- C:\WINDOWS\system32\versxon.dll
과거 온라인게임핵(OnlineGameHack)과 유사하게 감염되어 백신 무력화(AVKiller), 시스템 파일 패치(Patched) 등의 방식으로 시스템 감염이 이루어진 후 사용자가 인터넷뱅킹 서비스를 이용하는 과정에서 피싱(Phishing) 사이트 연결 또는 메모리 해킹 등을 통해 금융 정보를 탈취할 수 있는 것으로 보입니다.
그러므로 현재 업데이트 서버 관리가 전혀 이루어지지 않는 것으로 판단되는 만화 뷰어 프로그램으로 위장한 "Micro WebViewer Application ActX" 광고 프로그램이 설치된 사용자는 반드시 프로그램 삭제를 하시기 바라며, 보안 제품을 이용하여 정밀 검사를 통해 감염 여부를 점검하시기 바랍니다.