예전부터 네이버(Naver) 블로그를 통해 바람의 나라 경험치 계산기 게시글을 통해 백도어(Backdoor) 기능을 내장한 악성코드를 유포하는 사례가 지속적으로 이루어지고 있었습니다.
그런데 최근 바람의 나라 경험치 계산기 게시글 중 최상위에 노출된 2건의 게시글의 첨부 파일에서 악성 파일이 포함되어 있는 부분을 발견하였습니다.
"경험치계산기+V.2.0+Plus.zip" 압축 파일로 첨부된 파일 내에는 경험치계산기 V.2.0 Plus.exe 파일<SHA-1 : 5b26ba7c1a9508c20d5d161f8877f78ed83c3523 - MSE : Backdoor:Win32/Bifrose.gen!F (VT : 30/55)>이 포함되어 있습니다.
- locallhost.exe (SHA-1 : ac381f109838e41f21a51cb2cafd7238cc6fabb1) - AhnLab V3 : Trojan/Win32.Generic.C559593 (VT : 30/54)
- 바람의나라 경험치계산기.exe (SHA-1 : a4dbd4e85a29bf3d9a7cc1edee4afb0ee71f3a39)
압축 해제를 통해 파일을 실행할 경우 화면 상으로는 "바람의나라 경험치계산기 1.3v [Update.2013.12.15]" 창이 생성되어 정상적인 프로그램처럼 보여주지만 이 과정에서 다음과 같은 악성코드 감염이 이루어지게 됩니다.
C:\바람의나라 경험치계산기.exe
C:\locallhost.exe
- SHA-1 : ac381f109838e41f21a51cb2cafd7238cc6fabb1
- AhnLab V3 : Trojan/Win32.Generic.C559593 (VT : 30/54)
C:\Windows\0916_7236999C
C:\Windows\0916_7236999C\ServerLogs
C:\Windows\0916_7236999C\ServerLogs\(사용자 계정)
C:\Windows\0916_7236999C\ServerLogs\(사용자 계정)\19-09-2014
C:\Windows\localhost.exe
- SHA-1 : ac381f109838e41f21a51cb2cafd7238cc6fabb1
- AhnLab V3 : Trojan/Win32.Generic.C559593 (VT : 30/54)
먼저 루트(Root) 드라이브에 2개의 파일(C:\바람의나라 경험치계산기.exe, C:\locallhost.exe)을 압축 해제한 후, 악의적 기능을 수행하는 "C:\locallhost.exe" 파일을 "C:\Windows\localhost.exe" 파일명으로 자가 복제를 시킵니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- localhost = C:\Windows\localhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- localhost = C:\Windows\localhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\Windows\system32\userinit.exe, :: 기본값
- Userinit = C:\Windows\system32\userinit.exe,C:\Windows\localhost.exe :: 변경 후
생성된 "C:\Windows\localhost.exe" 악성 파일은 다양한 시작 프로그램 등록값을 등록하여 Windows 시작시 자동 실행되도록 등록합니다.
이를 통해 자동 실행된 localhost.exe 악성 파일은 Internet Explorer 웹 브라우저의 iexplore.exe 정상 프로세스에 코드 삽입을 통해 메모리에 상주합니다.
감염된 PC 환경의 프로세스 정보를 살펴보면 악성 프로세스는 표시되지 않으며, 항상 30% 수준의 CPU 점유율을 보여주는 iexplore.exe 프로세스가 실행되어 외부 통신을 시도하는 동작을 확인할 수 있습니다.
참고로 "qnghkf03.codns.com:53" C&C 서버로 연결을 시도하며 테스트 당시에는 서버로 정상적인 연결은 이루어지지 않고 있습니다.
1. 시작 프로그램(localhost) 복원 기능
해당 악성코드는 실시간으로 localhost 시작 프로그램 등록값을 체크하여 사용자에 의한 삭제를 방해하고 있습니다.
2. iexplore.exe 프로세스 보호 기능
사용자가 악성코드에 의해 실행 중인 iexplore.exe 프로세스를 강제로 종료 시도할 경우 explorer.exe 프로세스가 원격 스레드 방식으로 "C:\Windows\localhost.exe" 악성 파일을 로딩하여 iexplore.exe 프로세스 보호 기능을 수행합니다.
3. 키로깅(Keylogging) 저장 기능
감염된 환경에서는 키보드 입력값에 대해 "C:\Windows\0916_7236999C\ServerLogs\(사용자 계정)" 폴더 내에 암호화된 파일로 저장을 하며, 차후 C&C 서버와의 통신을 통해 정보가 유출될 수 있습니다.(※ 폴더명은 감염 PC마다 다릅니다.)
그러므로 블로그에 첨부된 바람의 나라 경험치 계산기 파일을 실행한 사용자의 경우 위와 유사한 증상이 있을 경우 다음과 같은 절차에 따라 삭제를 하시기 바랍니다.
(a) "C:\Windows\localhost.exe" 악성 파일을 찾아 삭제하시기 바랍니다.(※ 그 외 생성 파일 정보를 참고하여 관련 파일 모두 삭제하시기 바랍니다.)
(b) Internet Explorer 웹 브라우저를 모두 종료한 상태에서 Windows 작업 관리자를 실행하여 iexplore.exe 프로세스가 존재할 경우 모두 종료하시기 바랍니다.
(c) 레지스트리 편집기(regedit)를 실행하여 글에서 언급한 레지스트리 값을 찾아 삭제 및 수정하시기 바랍니다.
특히 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" 레지스트리 값 수정시에는 기본값(C:\Windows\system32\userinit.exe,) 뒤에 포함된 "C:\Windows\localhost.exe" 값만 삭제하시기 바랍니다.
앞으로도 바람의 나라 경험치 계산기를 이용한 악성코드는 유사한 기능을 하는 다양한 파일명으로 유포가 지속될 것으로 판단되므로, 블로그 게시글에 포함된 첨부 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.