2017년 12월 초에 등록된 Windows, Microsoft Office 프로그램의 정품 인증툴로 유명한 KMSPico 10.2.2 버전에 가상 화폐 채굴 기능을 가진 악성코드가 추가되어 유포되고 있다는 해외 정보가 있어 사실 여부를 확인해 보도록 하겠습니다.
KMSPico 유사 사이트에서 배포되고 있는 KMSPico 10.2.2 버전 파일(KMSPico 10.2.2 [Daz Team].iso)을 다운로드하여 테스트를 진행하였습니다.
다운로드된 ISO 파일(SHA-1 : f6b698c92713b6551c1c3a4556a969265d4ae1ff - Kaspersky : not-a-virus:AdWare.Win32.StartSurf.aqwo) 내부에는 KMSPico 10.2.2 버전 설치 파일(SHA-1 : 31d41765ea595005fd9968829129feae9a1d3895 - Microsoft : TrojanDropper:Win32/Kaymundler.C)이 포함되어 있습니다.
KMSPico 10.2.2 설치 파일을 실행할 경우 기본적으로 인증툴 외에 다수의 제휴 프로그램 설치를 유도하는 단계가 포함되어 있습니다.
현재 확인되는 제휴 프로그램에는 Youtube Converter, VPNTop, OneWorld OneDream, Xtex, OnlineApp이 포함되어 있으며, 테스트에서는 관련 제휴 프로그램 일체는 체크 해제를 통해 설치되지 않도록 진행하였습니다.
참고로 KMSPico 정품 인증툴에서 제공하는 제휴 프로그램과는 무관하게 가상 화폐 채굴 기능이 필수적으로 설치됩니다.
KMSPico 정품 인증툴 설치 목적으로 실행하여 설치창이 생성된 후 "C:\Program Files (x86)\KMSPico 10.2.2 Final" 폴더를 생성하여 다음과 같은 파일을 먼저 생성한 후 설치 단계가 진행되며, 이 과정에서 이미 가상 화폐 채굴 기능을 수행하는 win32.exe 악성 파일이 생성된 것을 확인할 수 있습니다.
그 외에도 KMSPico 정품 인증툴 설치 과정에서는 Avast Antivirus, ByteFence 백신 프로그램을 제휴로 추가하여 설치를 유도하는 행위를 확인할 수 있습니다.
앞서 언급한 것처럼 KMSPico 정품 인증툴 설치 과정에서 추가된 제휴 프로그램의 설치 여부와 무관하게 필수적으로 설치된 파일 중에는 가상 화폐 채굴 목적의 악성코드로 포함되어 있으며, 필수 설치 구성 요소에 대해 살펴보도록 하겠습니다.
생성 폴더 / 파일 등록 정보 |
C:\Program Files (x86)\KMSPico 10.2.2 Final C:\Program Files (x86)\KMSPico 10.2.2 Final\INSTALL_KMS.bat C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSPico Setup.exe C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSpico_patch.exe C:\Program Files (x86)\KMSPico 10.2.2 Final\win32.exe :: 시작 프로그램(jXuDLnugma) 등록 파일, 메모리 상주 프로세스, 가상 화폐 채굴 기능 |
생성 파일 진단 정보 |
C:\Program Files (x86)\KMSPico 10.2.2 Final\INSTALL_KMS.bat - SHA-1 : 1fbcd1793a30e88fed40bfbdd7f91bec05da2c88 - ESET : Win32/TrojanDownloader.Adload.NPA C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSPico Setup.exe - SHA-1 : f2186f3a574c15f501397ad11ff97d8d9fe1b3b5 - AhnLab V3 365 Clinic : PUP/Win32.StartSurf.C2283374 C:\Program Files (x86)\KMSPico 10.2.2 Final\KMSpico_patch.exe - SHA-1 : fd1b3a6d41b8b9c4e936887673ad3202dc51272e - AhnLab V3 365 Clinic : PUP/Win32.DealPly.R214963 C:\Program Files (x86)\KMSPico 10.2.2 Final\win32.exe - SHA-1 : 19e4c6ed52ad4348beb3d6e7008f4e93a3bf81d0 - Microsoft : Trojan:Win32/CoinMiner.BW!bit |
- "C:\Windows\explorer.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2
- "C:\Windows\notepad.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2
최초 설치되는 과정 및 실행된 가상 화폐 채굴용 악성코드(win32.exe)는 x64 운영 체제의 경우 메모장(notepad.exe) 또는 Windows 탐색기(explorer.exe)에 코드 인젝션을 통해 동작하는 모습을 확인할 수 있습니다.
실행된 explorer.exe 또는 notepad.exe 프로세스는 "xmr.pool.minergate.com:45560 (94.130.9.194:45560)" 서버와의 통신을 통해 Zcash 가상 화폐 채굴 기능을 수행합니다.
또한 "C:\Program Files (x86)\KMSPico 10.2.2 Final\win32.exe" 악성 파일은 자신을 "C:\Users\%UserName%\AppData\Local\kAUNCUkNWH\win32.exe" 파일로 자가 복제하는 행위를 수행합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- jXuDLnugma = "C:\Users\%UserName%\AppData\Local\KAUNCU~1\win32.exe"
이를 통해 Windows 부팅 시 시작 프로그램(RunOnce) 영역에 추가된 jXuDLnugma 등록값을 통해 자신을 자동 실행하도록 구성되어 있습니다.
이후 재부팅이 이루어진 환경에서도 지속적으로 Zcash 가상 화폐 채굴 목적으로 notepad.exe 프로세스를 통해 동작하는 목적을 확인할 수 있습니다.
해당 가상 화폐 채굴 기능을 수행하는 notepad.exe 프로세스는 50% 수준의 CPU 사용을 유지하며, 만약 100%로 상승할 경우 자동으로 종료하여 재실행되며, 실행된 notepad.exe 프로세스는 약 2~3분 간격으로 종료와 재실행을 반복하여 채굴 작업을 진행합니다.
특히 사용자가 작업 관리자(Taskmgr.exe)를 실행하여 CPU 사용을 확인하려고 할 경우 notepad.exe 프로세스를 자동 종료 처리하여 자신의 행위를 숨기며, 작업 관리자가 종료될 경우 재실행하여 지속적인 작업을 수행합니다.
- "C:\Windows\System32\svchost.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2
- "C:\Windows\System32\wuapp.exe" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zcashminer@gmx.com -p x -t 2
만약 x86 운영 체제 사용자의 경우에는 가상 화폐 채굴 기능을 수행하는 정상적인 시스템 프로세스는 svchost.exe 또는 wuapp.exe 프로세스를 통해 채굴이 이루어지도록 제작되어 있습니다.
이번 사례를 통해 KMSPico 정품 인증툴을 확인하는 과정에서 필수적으로 가상 화폐 채굴 기능과 더불어 특정 시간 단위로 추가적인 악성 프로그램 설치를 유도하는 웹 사이트 접속 행위가 수행될 수 있는 부분(※ 차후 관련 분석 내용을 공개할 예정)이 존재하는 것으로 보입니다.
그러므로 KMSPico 정품 인증툴은 되도록이면 사용하지 않는 것이 가장 안전하며, 백신 프로그램에서 탐지를 하여도 정품 인증툴 특성상 진단한다고 무시하는 경향이 매우 강할 수 있다는 점에서 더욱 주의하시기 바랍니다.