최근 정체를 알 수 없는 악성코드에 감염된 PC에서 아프리카TV 게임 방송이 흘러나오는 등의 문제에 대해 언급한 적이 있었습니다.

관련 정보를 통해 찾아낸 다양한 변종 악성 파일을 통해 Ec0nomist님이 제보해주신 실제 유포 방식과 관련 정보를 추가적으로 살펴보도록 하겠습니다.

대표적인 유포처는 네이버(Naver) 블로그에 작성된 마인크래프트(Minecraft) 게임 관련 첨부 파일을 이용하고 있으며, 해당 게시글은 2015년 1월 하순경에 작성되어 있습니다.

 

1. (비정품&정품)Minecraft+Launcher.exe 악성 파일<SHA-1 : c861925cf261a3febf1bc35b594be1ce1e873d7c - MSE : Backdoor:MSIL/Bladabindi.AJ (VT : 35/55)> 정보

  • Server.exe (SHA-1 : b5fb93603b09030a22d80ab0ed382d1cc4898156) - AhnLab V3 : Trojan/Win32.agent.C241680 (VT : 37/55)
  • 마크복돌런처1.7.2.exe (SHA-1 : df1674095c3e9d8271d296a94c3f116627eed700) :: Minecraft Launcher 파일(정상 파일)

(비정품&정품)Minecraft+Launcher.exe 악성 파일 내부에는 정상적인 Minecraft Launcher 파일과 악성 파일(Server.exe)이 실행 압축되어 있습니다.

사용자가 다운로드된 파일을 정상적인 마인크래프트(Minecraft) 파일로 생각하고 실행할 경우 "C:\마크복돌런처1.7.2.exe" 파일로 압축 해제 및 실행(설치)하여 "TeamExtreme Minecraft Launcher 3.5.1" 화면을 표시하며, 이 과정에서 백그라운드 방식으로 다음과 같은 악성 파일을 설치합니다.

 

[생성 파일 및 진단 정보]

 

C:\Server.exe
 - SHA-1 : b5fb93603b09030a22d80ab0ed382d1cc4898156
 - AhnLab V3 : Trojan/Win32.agent.C241680 (VT : 37/55)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\server.exe :: 시작 프로그램(9a7370d0f4d680d18910380fe1e5bf61) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : b5fb93603b09030a22d80ab0ed382d1cc4898156
 - AhnLab V3 : Trojan/Win32.agent.C241680 (VT : 37/55)

실행 압축 파일 해제를 통해 "C:\Server.exe" 파일을 생성한 후 임시 폴더(%Temp%)에 자신을 복사합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - 9a7370d0f4d680d18910380fe1e5bf61 = "C:\Users\(사용자 계정)\AppData\Local\Temp\server.exe" ..


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - 9a7370d0f4d680d18910380fe1e5bf61 = "C:\Users\(사용자 계정)\AppData\Local\Temp\server.exe" ..

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\Temp\server.exe" 파일을 시작 프로그램(9a7370d0f4d680d18910380fe1e5bf61)으로 등록하여 자동 실행되어 메모리에 상주합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters
\FirewallPolicy\FirewallRules
 - {20CB5109-E2DA-4F7C-9697-B9C4481E078F} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData
\LocalTemp\server.exe|Name=server.exe|
 - {F432761E-B9F5-4966-9757-6D5A4805F9E1} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData
\Local\Temp\server.exe|Name=server.exe|

참고로 자동 실행되는 server.exe 파일은 외부와의 원활한 통신을 위해 Windows 방화벽의 허용되는 프로그램 목록에 추가됩니다.

이를 통해 실행된 server.exe 악성 파일은 "C:\Windows\System32\netsh.exe" 시스템 파일(네트워크 명령 셸)을 통해 "qpzm471471.codns.com (103.43.122.65 또는 183.90.139.158)" C&C 서버와 통신을 시도하며 테스트 당시에는 연결이 이루어지지 않았습니다.(※ 변종에 따라서는 관련 IP 주소 기반으로 "gksehddnr777.codns.com" 서버도 확인되고 있습니다.)

 

참고로 해당 서버를 통해 2014년 7월경부터 최근까지 유포된 악성 파일 변종 정보를 추가적으로 공개해 드립니다.

  1. SHA-1 : 0735f66dde4cc96190c87d6291f53276ef671ada - AVG : Generic_r.ZQ
  2. SHA-1 : 2d3dc6d88c535c5f12756455174bbd43371597b0 - AhnLab V3 : Win-Trojan/Scar.109568.U
  3. SHA-1 : 6614a3ed073042bd4508a5981f9c6f0db1acc88f - AhnLab V3 : Trojan/Win32.Bladabindi
  4. SHA-1 : a679dab63086022c96c5903f271803777e2687cf - MSE : Virus:Win32/Virut.BN
  5. SHA-1 : ae5931aa77d51c8292ea431b93c3ba35fa2ab555 - 알약(ALYac) : Dropped:Win32.Virtob.Gen.12
  6. SHA-1 : d082ef871ae369f9fb2466812af62dd4c3af8efd - 알약(ALYac) : Gen:Variant.Symmi1.135
  7. SHA-1 : f97efcfd1f31847805e92d83122b91a3e7109276 - AhnLab V3 : Backdoor/Win32.Nitol

그러므로 수동으로 해당 악성코드 제거를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 server.exe 프로세스를 종료한 후 생성 파일 및 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

2. [1.7]퍼트의+통합설치기(v17.9).exe 악성 파일<SHA-1 : 1931bd31b1d712c74a1111abff803c70217217bb - AhnLab V3 : Backdoor/Win32.Nitol.C745292 (VT : 38/54)> 정보

  • [1.7]퍼트의+통합설치기(v17.9).exe (SHA-1 : 3957395bff5dd2e260c9053e7b193b5336bd0630) :: 유효하지 않은 "PHS blog" 디지털 서명이 포함된 정상 파일
  • Server.exe (SHA-1 : 3f288d6a535def8b5fd03b5349d046d3936faddc) - AhnLab V3 : Trojan/Win32.Scar.R3121 (VT : 40/55)

[1.7]퍼트의+통합설치기(v17.9).exe 악성 파일 내부에는 정상적인 퍼트의 마인크래프트(Minecraft) 통합모드 설치 파일과 악성 파일(Server.exe)이 실행 압축되어 있습니다.

사용자가 정상 파일로 착각하여 다운로드된 파일을 실행할 경우 "C:\[1.7]퍼트의+통합설치기(v17.9).exe" 파일을 생성하여 퍼트의 마인크래프트(Minecraft) 관련 프로그램 설치를 시도하지만 티스토리(Tistory) 특정 블로그에 저장된 추가적인 정보값을 받아오지 못하는 관계로 설치에 실패하며, 이 과정에서 백그라운드 방식으로 다음과 같은 악성 파일을 설치합니다.

 

[생성 파일 및 진단 정보]

 

C:\Server.exe
 - SHA-1 : 3f288d6a535def8b5fd03b5349d046d3936faddc
 - AhnLab V3 : Trojan/Win32.Scar.R3121 (VT : 40/55)

 

C:\Windows\System32\nahvay.exe :: 서비스(Nationalfyk) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : 3f288d6a535def8b5fd03b5349d046d3936faddc
 - AhnLab V3 : Trojan/Win32.Scar.R3121 (VT : 40/55)

해당 악성코드는 실행 압축시 "C:\Server.exe" 파일로 생성된 후 자신을 시스템 폴더 내에 (임의의 6자리 영문 소문자).exe 파일 패턴으로 자가 복제합니다.(※ 64비트 운영 체제에서는 "C:\Windows\SysWOW64" 폴더 내에 생성됩니다.)

랜덤(Random)하게 생성된 파일 속성값을 확인해보면 중국(China)에서 제작된 툴을 통해 제작된 것으로 보이며 Microsoft Server 파일처럼 위장하고 있습니다.

감염된 환경에서 시스템 시작시 "Nationalfyk (표시 이름 : Nationalmqp Instruments Domain Service)" 서비스 항목을 통해 "C:\Windows\system32\nahvay.exe" 악성 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.(※ 변종에 따라 National(3자리 영문) 패턴으로 서비스 이름이 변경될 수 있습니다.)

이를 통해 "qpzm471471.codns.com (103.43.122.65 또는 183.90.139.158)" C&C 서버로 통신을 시도하며 테스트 당시에는 연결되지 않고 있습니다.

특히 정상적으로 해당 악성코드가 동작하였을 당시 자동 분석 정보를 확인해보면 특정 아프리카TV 방송국으로 연결되어 게임 방송 목소리가 흘러나오지 않았나 의심이 되며, 확인 가능한 관련 아프리카TV 방송국은 현재는 모두 계정이 사라진 상태입니다.

그러므로 수동으로 해당 악성코드 제거를 위해서는 "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Nationalfyk"] 명령어(※ 변종에 따라 명령어 변수는 달라질 수 있습니다.)를 입력 및 실행하여 메모리에 상주하는 서비스 파일(nahvay.exe) 프로세스를 종료하시기 바랍니다.

 

이후 [sc delete "Nationalfyk"] 명령어(※ 변종에 따라 명령어 변수는 달라질 수 있습니다.)를 입력 및 실행하여 악성 서비스 레지스트리 값(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Nationalfyk)을 자동 삭제하시기 바라며, 제거가 이루어진 후에는 생성 파일 정보를 참고하여 관련 악성 파일을 삭제하시기 바랍니다.

 

위와 같이 국내인으로 추정되는 인물이 다양한 블로그에 마인크래프트(Minecraft)를 비롯한 게임 관련 파일을 첨부하여 다운로드를 유도하고 있으며, 외형적으로 정상적인 파일을 함께 리패키징(Repackaging)하는 방식으로 눈을 속이고 있으므로 신뢰할 수 없는 블로그 첨부 파일을 다운로드하는 어리석은 습관을 버리시기 바랍니다.

블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..