최근 블로그를 통해 USB 드라이브에 존재하는 Drive.bat 파일을 삭제해도 지속적으로 재생성되는 문제에 대해 문의가 들어와서 관련 정보를 살펴보도록 하겠습니다.
1차적으로 제공받은 Drive.bat 배치 파일을 확인해보면 "\\Drive\453\vjjeuhhy.js" 파일이 추가적으로 존재할 것으로 추정되기에 관련 파일을 찾아서 보내달라고 요청하였습니다.
|
생성 폴더 / 파일 및 진단 정보 |
|
\\Drive :: 숨김(H) 폴더 속성
- SHA-1 : ca15eb44149114eb38a67bc43029f72db2aa2c3f - 알약(ALYac) : Trojan.Bondat.JS
\\Drive.bat
|
이를 통해 최종적으로 USB 드라이브에는 숨김(H) 폴더 속성값으로 생성된 Drive 폴더 내에 악성 스크립트(.js) 파일이 존재한다는 사실과 함께 사용자가 USB 드라이브에 생성되어 있는 Drive.bat 배치 파일을 실행할 경우 JS 스크립트 실행이 이루어지는 구조임을 알 수 있습니다.
난독화된 코드가 포함된 JS 스크립트 파일은 "C:\Windows\system32\wscript.exe" 시스템 파일을 통해 실행되어 C:\Windows\system32\cmd.exe /c start Drive.bat & explorer "Drive\453" 명령어를 통해 최초 동작이 이루어지며, 이를 통해 다음과 같은 파일을 실행된 시스템에 생성합니다.
|
생성 폴더 / 파일 및 진단 정보 |
|
C:\Users\%UserName%\AppData\Roaming\dfmlyl :: 숨김(H) 폴더 속성
- SHA-1 : ca15eb44149114eb38a67bc43029f72db2aa2c3f - 알약(ALYac) : Trojan.Bondat.JS
|
최초 감염된 환경에서는 숨김(H) 폴더 속성값을 가진 "C:\Users\%UserName%\AppData\Roaming\dfmlyl" 폴더를 생성하여 내부에 JS 악성 스크립트와 관련 파일을 생성합니다.
이를 통해 실행된 프로세스 정보를 살펴보면 Random 파일명으로 생성 및 실행된 "C:\Users\%UserName%\AppData\Roaming\dfmlyl\hyvur.exe" 파일은 "C:\Windows\System32\wscript.exe" 시스템 파일(Microsoft ® Windows Based Script Host)을 복사하여 악성 JS 스크립트 파일을 로딩하는데 활용하는 것을 알 수 있습니다.
특히 사용자가 실행 중인 hyvur.exe 프로세스 종료를 시도할 경우 프로세스 보호 기능을 통해 재생성이 이루어지며, 부모 프로세스인 wscript.exe 프로세스를 종료 시도할 경우 shutdown /p /f 명령어 실행을 통해 강제로 Windows 종료를 통해 자신을 종료하지 못하게 방해하는 행위가 존재합니다.
또한 숨김(H) 속성 처리가 이루어진 자신의 존재를 숨길 목적으로 다음과 같은 레지스트리 값을 기본값으로 수정합니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2 (기본값) :: 숨김 파일, 폴더 또는 드라이브 표시 안 함
- ShowSuperHidden = 0 (기본값) :: 보호된 운영 체제 파일 숨기기(권장) 체크
이를 통해 Windows 탐색기를 통해 숨김(H) 속성값을 가진 폴더가 표시되지 않도록 변경하며, 만약 사용자가 레지스트리 값 수정을 위해 레지스트리 편집기(regedit)를 비롯한 다음과 같은 프로그램을 감시하여 실행되지 않도록 차단합니다.
regedit, windows-kb, mrt, rstrui, msconfig, procexp, avast, avg, mse, ptinstall, sdasetup, issetup, fs20, mbam, housecall, hijackthis, rubotted, autoruns, avenger, filemon, gmer, hotfix, klwk, mbsa, procmon, regmon, sysclean, tcpview, unlocker, wireshark, fiddler, resmon, perfmon, msss, cleaner, otl, roguekiller, fss, zoek, emergencykit, dds, ccsetup, vbsvbe, combofix, frst, mcshield, zphdiag
이렇게 감염된 Bondat 악성코드는 시작프로그램 영역에 추가된 Start.lnk 바로 가기 파일을 통해 Windows 부팅 시마다 자동 실행되며, 이를 통해 C:\Users\%UserName%\AppData\Roaming\dfmlyl\hyvur.exe "C:\Users\%UserName%\AppData\Roaming\dfmlyl\farwekrr.js" 파일이 동작하도록 진행합니다.
재부팅 시마다 "C:\Users\%UserName%\AppData\Roaming\dfmlyl" 폴더에 wscript.exe 시스템 파일을 Random한 파일명으로 추가 생성하여 프로세스 상에서는 모두 정상적인 파일만 동작하는 것처럼 자신을 숨깁니다.
하지만 실행된 hyvur.exe + lxwly.exe 파일(= wscript.exe 정상 파일)은 "C:\Users\%UserName%\AppData\Roaming\dfmlyl\farwekrr.js" 악성 스크립트을 로딩하여 역할을 수행합니다.
최초 문의한 감염자의 경우 USB 드라이브에 존재하는 Drive.bat 배치 파일을 삭제한 이후에도 지속적으로 재생성되는 이유의 경우 감염된 환경에서는 "C:\Windows\System32\cacls.exe" 시스템 파일(제어 ACLs 프로그램)을 통해 생성되는 관련 악성 파일을 지속적으로 생성 및 권한을 지정하는 행위를 수행하기 때문입니다.
예를 들어 cacls C:\Users\%UserName%\AppData\Roaming\dfmlyl\farwekrr.js /T /E /G Users:(드라이브 문자) /C 명령어를 지속적으로 실행할 수 있습니다.
감염된 환경에서는 "95.153.31.18" 서버로 PC 정보를 전송할 수 있으며, 그 외 특정 명령을 받아올 수 있습니다.
확인된 대표적인 악성 기능으로는 Internet Explorer 웹 브라우저의 홈 페이지를 "login.gulfeconnection.com" 주소로 강제로 변경을 시도할 수 있습니다.
최종적으로 연결된 홈 페이지 주소는 구글 애드센스(Google AdSense) 광고 배너가 포함된 콘텐츠가 노출되고 있으며, 추정해보면 Bondat 웜(Worm)의 주 목적은 광고 수익이 아닌가 의심됩니다.
앞서 언급한 것처럼 Bondat Worm 감염 환경에서는 사용자가 프로세스를 강제 종료한 후 자신을 삭제하지 못하도록 프로세스 종료 시도 시 Windows 종료가 자동으로 진행되므로 반드시 안전 모드(F8)로 부팅하여 관련 폴더(파일)를 찾아서 삭제하시기 바랍니다.
또한 감염된 USB 드라이브의 경우에는 중요 자료는 따로 백업한 후 USB 드라이브 포맷을 통해 내부에 존재하는 악성 파일을 모두 삭제하시기 바랍니다.