최근 특정 스포츠 배팅 정보 및 동영상 서비스를 제공하는 웹 사이트 접속시 Win24_Update 파일을 다운로드하도록 유도하는 메시지 창을 통해 정보 유출을 시도하는 악성코드에 대해 언급한 적이 있었습니다.
그런데 추가적인 모니터링 과정에서 지속적으로 공격자가 웹 사이트 접속시 감염을 유발하는 행위가 확인되었으며, 특히 감염으로 인해 특정 운영 체제 환경에서 Windows 부팅에 문제를 유발하는 부분이 있기에 해결 방법을 추가적으로 살펴보도록 하겠습니다.
- 2014년 9월 13일 : h**p://www.wintv**.com/data/win_24.exe
- 2014년 9월 16일 : h**p://www.wintv**.com/data/file/notice/win_24.exe (SHA-1 : b9bb566c4ace6817de6c3fe2a740a3f262943b1d)
- 2014년 9월 18일 : h**p://www.wintv**.com/data/file/laddder/win_24.exe
- 2014년 9월 19일 : h**p://www.wintv**.com/data/file/notice/vv3.exe
- 2014년 9월 20일 : h**p://********.ddns.info/wintv_update.exe (SHA-1 : dd51d92737bfdc9688f458abf4134a93224453e0)
최근까지 확인된 주요 유포 파일 URL 정보(※ 일부 유포 날짜는 추정입니다.)는 위와 같으며, 이 글에서는 2014년 9월 20일경에 유포가 이루어진 악성 파일을 기준으로 살펴보도록 하겠습니다.
사용자가 해당 스포츠 배팅 웹 사이트에 접속시 쿠키 파일 체크를 통해 "악성코드 치료 프로그램을 다운로드 합니다. 다운받은후 실행 하셔야 사이트 이용에 문제가 없습니다."라는 메시지 창을 생성할 수 있습니다.
사용자가 메시지 창의 "확인" 버튼을 클릭할 경우 웹 사이트 메인 소스 내에 추가된 "bit.ly" 단축 URL 주소를 통해 공격자가 운영하는 서버에서 wintv_update.exe 악성 파일<SHA-1 : dd51d92737bfdc9688f458abf4134a93224453e0 - AhnLab V3 : Trojan/Win32.Sniffer.R119774 (VT : 23/49)>을 다운로드 시도합니다.
참고로 유포 당시 AhnLab V3 보안 제품에서는 "악성 사이트 접근 차단" 창을 통해 연결 고리를 사전 차단하고 있었으며, 파일은 2014년 9월 20일 오전 2시경에 최초 보고되고 있었습니다.
C:\Windows\Winpcapture.exe
- SHA-1 : dd51d92737bfdc9688f458abf4134a93224453e0
- AhnLab V3 : Trojan/Win32.Sniffer.R119774 (VT : 23/49)
- 알약(ALYac) : Spyware.Infostealer.Win24
다운로드된 악성 파일을 실행할 경우 자기 자신을 "C:\Windows\Winpcapture.exe" 파일로 복제하며, 다음과 같은 레지스트리 등록값을 통해 시스템 시작시 자동 실행되도록 구성됩니다.(※ 기존의 유포 파일 중에서는 감염시 "C:\Windows\RawSockets.exe" 파일로 생성되었을 수도 있습니다.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}
- StubPath = C:\Windows\Winpcapture.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = explorer.exe :: 기본값
- Shell = Explorer.exe C:\Windows\Winpcapture.exe :: 변경 후
- C:\Program Files\AhnLab\V3Lite30\Uninst.exe
- C:\Program Files\ESTsoft\ALYac\unins000.aye
감염된 환경에서 AhnLab V3 Lite, 알약(ALYac) 무료 백신이 설치되어 있는 경우 백신 프로그램에 존재하는 삭제 파일을 Shell Commands 명령어를 통해 백그라운드 방식으로 실행하여 자동 삭제 처리되도록 제작되어 있습니다. 특히 알약(ALYac) 무료 백신의 경우 자동 삭제 이후 Windows 재부팅이 자동으로 진행됩니다.(※ 테스트 당시에서는 알약(ALYac) 무료 백신은 진단하지 못하는 문제로 알약 자동 삭제 및 재부팅을 통해 Windows 진입이 이루어지지 않는 문제가 발생할 수 있었습니다. 특히 BitDefender 엔진에서는 Gen:Trojan.Heur.PT.cqW@aii4r7mG 휴리스틱 진단이 가능하였지만, 실제 알약에서는 휴리스틱 진단명으로 진단되지 않았습니다.)
실행된 악성코드는 사용자가 해당 스포츠 배팅 사이트 로그인시 계정 정보를 수집하여 "sniffer1.ddns.info" 서버로 전송하는 기능이 포함되어 있습니다.
문제는 해당 악성코드 감염으로 인해 Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1 운영 체제 환경에서 Windows 부팅 과정에서 사용자 계정 컨트롤 창을 통해 Winpcapture.exe 악성 파일 실행 여부를 묻는 창이 생성되며 이후 검은 화면이 지속되어 PC를 사용할 수 없는 문제가 발생합니다.
문제 해결을 위해 안전 모드(F8)로 진입을 하여도 검은 화면이 유지되어 Windows 화면으로 진입할 수 없는 문제가 발생하며, Windows XP 운영 체제에서는 정상적으로 안전 모드로 진입이 가능한 것으로 보입니다.
그러므로 Windows XP 운영 체제 환경에서는 Windows 진입이 이루어지지 않을 경우 안전 모드(F8)로 진입하여 생성 파일과 레지스트리 값을 삭제 및 수정한 후 정상 모드로 부팅을 진행하시면 해결됩니다.
하지만 Windows Vista, Windows 7 운영 체제 환경에서는 다음과 같은 조치를 통해 문제를 해결해 보시기 바랍니다.(※ Windows 8, Windows 8.1 운영 체제에서는 부팅시 검은 화면이 발생할 경우 몇 번의 재부팅 시도 후 고급 부팅 옵션이 자동으로 생성되므로 아래와 같이 진행하시기 바랍니다.)
Windows 부팅시 안전 모드(F8)로 진입하여 "안전 모드(명령 프롬프트 사용)" 메뉴를 통해 Windows를 시작하시기 바랍니다.
del C:\Windows\Winpcapture.exe
명령 프롬프트 창이 생성되면 DEL Command 명령어를 이용하여 "C:\Windows\Winpcapture.exe" 악성 파일을 삭제하시기 바랍니다.
Command 명령어를 통해 파일 삭제가 정상적으로 이루어진 것을 확인할 수 있으며, 이후에는 다음과 같은 REG Command 명령어를 통해 감염으로 인해 생성 및 수정된 레지스트리 값을 삭제 및 수정하시기 바랍니다.
reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}" /v "StubPath" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /t "REG_SZ" /d "explorer.exe" /f
shutdown -r -f -t 0
레지스트리 값 삭제 및 수정이 완료된 후에는 Windows 재부팅을 위해 shutdown 명령어를 이용하여 자동으로 윈도우를 정상 모드로 부팅을 진행하시면 됩니다.
해당 문제는 악성코드 제작자의 실수로 인해 발생한 문제로 추정되지만 해당 문제로 인해 부팅이 되지 않는 감염자의 경우 포맷을 통해 시간과 자료 손실 문제가 발생하였을 가능성이 높습니다.
해당 스포츠 배팅 사이트의 악성코드 문제는 관리자 계정이 공격자에게 노출되었거나 사이트 취약점을 해결하지 않고 단순히 악성 파일 제거만을 하는 방식으로는 차후 지속적인 공격이 이루어질 수 있으므로 사이트 이용자들은 각별히 주의하시기 바랍니다.