본문 바로가기

벌새::Analysis

[삭제] 싸이월드 투데이 : SimSiMi

싸이월드(CyWorld) 서비스를 비정상적인 방법으로 이용하는 것 중에 가장 대표적인 것이 싸이월드 투데이 올리기와 관련된 프로그램이며 다수의 프로그램 중에서 사용자의 개인정보 탈취 및 불필요한 시스템 자원 낭비를 하는 프로그램이 다수 존재하는 것으로 알려져 있습니다.

이전에도 유사한 프로그램을 살펴보았으며, 이번에는 SimSiMi라는 이름으로 배포가 되고 있는 프로그램을 알아보도록 하겠습니다.

해당 프로그램은 블로그를 통해 배포가 이루어지고 있는 것으로 제작자는 자체적인 홈페이지를 개설하여 회원 가입을 통한 업데이트 버전을 추가적으로 배포하고 있습니다.

현재 블로그에서 배포가 이루어지고 있는 3.2 버전의 경우 실제 실행을 할 경우 최신 버전 업데이트로 인한 문제인지 현재는 차단을 하고 있는 것을 확인할 수 있습니다.

배포 블로그에서는 차단 전의 경우 정상적인 동작에서 싸이월드 아이디와 비밀번호 입력 과정을 통해 프로그램을 동작하도록 구성되어 있는 것으로 확인이 됩니다.

하지만 위의 그림과 같이 프로그램을 실행할 수 없다는 메시지가 출력된 상태에서 실제로는 일부 파일이 특정 서버에서 다운로드되어 시스템 폴더에 파일을 생성한 것을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\WINDOWS\System32\YAKIMA.exe (AhnLab : Win-Spyware/CyToday.9728)

[생성 파일 다운로드 정보]

Http: Request, GET /SimSiMi3/Today.exe
Command: GET
URI: /SimSiMi3/Today.exe (YAKIMA.exe 자가복제)
ProtocolVersion: HTTP/1.1
Host:  kksa.******.com

Http: Request, GET /SimSiMi3/zToday.exe
Command: GET
URI: /SimSiMi3/zToday.exe (Bigten.exe 자가복제)
ProtocolVersion: HTTP/1.1
Host:  kksa.******.com


이렇게 생성된 파일에 대하여 안철수연구소(AhnLab) 보안제품에서는 싸이월드 계정 탈취용 스파이웨어(Spyware)로 진단하고 있는 것을 확인할 수 있습니다.

현재와 같이 관리자에 의해 프로그램 실행을 차단하지 않았다면 싸이월드 로그인 과정에서 특정 서버로 계정 정보가 유출되었을 것으로 보이며, 보안업체의 진단에 따른 우회 목적으로 새로운 업데이트 버전을 내놓은 것으로 추정됩니다.

[시작 프로그램 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Bigten = C:\Windows\System32\Bigten.exe
 - YAKIMA = C:\Windows\System32\YAKIMA.exe


문제는 이렇게 동작하지 않는 프로그램의 경우에도 생성된 파일은 시작 프로그램으로 등록되는 것을 확인할 수 있으며, 윈도우 시작시 자동으로 실행되고 있습니다.

특히 생성된 YAKIMA.exe / Bigten.exe 2개의 프로세스는 사용자 컴퓨터 환경에 따라 CPU 점유율이 다를 수 있지만, 저사양 컴퓨터에서 심하게 시스템 자원을 활용하는 것을 확인할 수 있습니다.

Bigten.exe

Bigten.exe 파일의 정보를 살펴보면, 특정 서버에 접속을 하여 등록된 특정 싸이월드 계정의 투데이를 올리기 위해 동작을 하는 것을 확인할 수 있습니다.

YAKIMA.exe

YAKIMA.exe 파일의 경우에도 특정 서버에 접속하여 등록된 싸이월드 계정의 위한 동작을 하는 것을 확인할 수 있습니다.

이처럼 무심결에 호기심으로 인해 실행된 파일이 동작하지 않는 상태에서도 사용자 몰래 설치된 파일로 인하여 자동으로 실행이 되며, 자신의 계정 정보도 외부로 유출될 수 있는 것을 확인하였습니다.

테스트 과정에서 확인된 싸이월드 등록 계정이 일부 존재하며, 실제 프로그램을 등록하지 않았지만 한 번의 실행으로 좀비PC처럼 타인의 싸이월드 계정을 위해 이용당하지 않도록 주의하시기 바랍니다.

  • 작성자님 이렇게 적어놓으시면 사람들이 유용한 프로그램으로 착각할수있으니
    제목을 [악성코드프로그램]등 먼가 위험성을 강조해주셔야 할거같아요..
    괜히 좋은정보로알고 검색해서 다운받아서 피해보는사람이없도록이요.

    • 제목을 일부 수정했습니다.

      일부 악성코드 제작자들이 보안제품에서 진단을 하거나 또는 진단하지 않아도 악의적인 배포에 대해 명예훼손이나 여러 가지 핑계를 빌어 신고 또는 항의를 하는 경우가 있어서 직접적으로 제목부터 공격적으로 표기를 잘 안하고 있으므로 양해해 주시기 바랍니다.

  • 벌새님 말이 틀리지않내요
    악성코드 제작/유포 해놓고 악성코드라고하면.. 명예회손으로 신고하겠다는
    일명 방귀낀놈이 성낸다죠.. 억지사지를 부리니..허참
    언패킹 해보니 문제되는점이 많은 프로그램이더군요.. 피해자가 늘지않기 바랄뿐이에요.

  • 사이트에 가보니 프로그램 정보에는 설치한다고 명시되어 있으니 몰래는 아니라고 봅니다.
    다만, 사용자가 읽지 않았을 뿐이겠지요, (벌새님도 읽어보셨는지는 모르겠습니다.)

    개인정보 유출이라고 하신 것도 문제가 있어보입니다.
    저도 나름 조사를 해보았는데 접속하는 서버는 호스팅의 아이피더군요,
    특정 아이피로 값을 전달하거나 하지는 않았습니다.

    또한 만약 개인정보 유출을 다른 방식으로 php를 통하여 메일을 보낸다거나, 호스팅의 특정 파일을 수정하는 형식으로 저장을 시킨다거나, 이런 방법도 아니더군요.
    저런 형식을 취하려면 mail 함수에서 전송되는 값은 적어도 4개. to, title, body, from 정도가 되겠군요.
    하지만, tidsave.php 로 포스트되는 포스트 값은 text=숫자 8자리 였으며, Add 버튼을 누를때만 작동되고 그 숫자는 savetid.txt로 저장되고 있었습니다. 마찬가지로 del 버튼을 누를 경우 tiddel.php?숫자 8자리 GET 방식으로 접속을 하더군요.


    아, 그리고 로그인 하는 이유와 php로 호스팅에 남기는 것을 제작자에게 질문을 해보았습니다. 나름 이유가 있더군요. (php로 호스팅에 남기는 것은 제가 만든 프로그램들과 홈페이지 등을 보여드린 후에 살짝 볼 수 있었습니다.)

    첫째로 사용자가 추가, 삭제를 하는 형식이라 누군가 자기 고유번호를 마음데로 추가, 삭제를 할 수 있다는 문제가 발생한다고 합니다. 그래서 특정한 방법으로 본인 인증(?) 같은 것을 해야할 수 있도록 하는 방안을 마련하는 도중, 숫자 8자리는 고유번호라 불리는데 그것은 싸이 아이디마다 가지는 고유값이라고 합니다. 그것을 html 소스상에서 찾아 그 값에 대한 추가와 삭제를 할 수 있도록 한다고 합니다.

    다음으로 php를 확인하였는데- 둘 다 변수를 제외하고는 4~5줄로 구성되었고, 실제로 투데이가 오르게 하는 파일 외에는 다른 곳을 수정하거나 하지는 않았습니다. 기타 다른 디렉토리도 보여주셨는데 역시 마찬가지였습니다.

    뭐, CPU를 많이 사용하니 악성코드라고 할 수는 있겠습니다만 개인정보 유출은 아니며, 사용자 몰래 올린다는 것은 어떻게 보시냐에 따라서 저와 생각이 다르겠지만 우선 전 아니라고 생각합니다 ^^.



    관리자의 요청으로 실행할 수 없다는 것은 홈페이지 활성화가 되지 않아 업데이트 방식을 삭제하고 홈페이지에 접속을 유도하려는 것이라고 밝히셨습니다.

    • 가장 큰 문제는 사용자들이 해당 사이트에서 다운을 받는 것이 아니라 개인 블로그에서 받아서 그냥 설치하게 되는 과정에서 어떤 정보도 확인하지 못하는 경우가 있는 것으로 보입니다.

      나머지 말씀하신 부분은 제가 해당 사이트에서 최신 버전을 통해 설치를 진행하지 않고 단지 이전 버전으로만 확인하였습니다.

      일반적으로 프로그램 설치시 해당 메시지와 같이 설치가 되지 않는 상태에서 프로그램이 일부 동작하는 것은 문제가 있다고 저는 생각합니다.

      또한 보안제품에서 스파이웨어로 진단을 추가한 부분에 대해 어떤 부분을 진단한 것으로 생각되는지는 모르지만 진단 정책에 부합하는 측면이 있으니 넣지 않았나 생각됩니다.

      그리고 근본적으로 외부 프로그램에 특정 서비스의 계정 정보를 입력해서 우회적인 동작을 하는 것은 문제가 있다고 생각합니다.

  • 성호 2009.12.01 23:21 댓글주소 수정/삭제 댓글쓰기

    제가 이파일을 그냥 생각없이 다운로드받았는데

    대처법이있을까요??? 혹시아시다면좀알려주세요.. 포맷은좀그렇구용

    • 실제 다운로드를 통한 실행 및 싸이월드 계정 입력과 동작까지 병행을 하였다면 제가 제시하는 내용과는 또 달라질 수 있습니다.

      단순히 다운만 받고 실행을 하지 않았다면 해당 파일만 삭제하시면 됩니다. 단지 실행을 하였다면 일단 제일 먼저 확인할 부분은 프로세스에서 수상한 정보가 없는지 확인을 하시기 바라며, 싸이월드 계정 비밀번호를 수정하시기 바랍니다.

      현재 제가 쓴 글의 파일 정보로 추정해보면 단순히 프로그램 이름으로 파일이나 레지스트리 정보를 찾는 것이 어려워 보이므로 보안업체에 문의를 해보시기 바랍니다.

      그 이전에 유명 보안제품으로 전체 검사를 하시는 방법도 있고, 더 좋은 방법은 방화벽 프로그램을 한 번 이용하시는 것도 결국 투데이가 외부와 연결하는 부분을 확인할 수 있기에 좋은 방법이 아닐까 생각됩니다.

  • 성호 2009.12.02 17:50 댓글주소 수정/삭제 댓글쓰기

    저 프로그램 아디비번까지다치고 실행햇는데

    현재는 프로그램삭제와 아이디비번만 바꾼상태구요

    뭐 지금은지장없지만 이글보니깐섬뜩하네요

    답변이 제가 해석하기조금어렵게 써주셧는데

    죄송한데 좀쉽게 풀어써주세요~

    컴퓨터에 관리하는게많아서 밖으로새나가면안돼는파일이 좀있거든요..

    • 현재 최신 버전은 회원 가입을 통해 다운이 되는 것으로 보입니다.

      저 역시 더 이상 프로그램의 동작을 확인할 수 없어서 작성한 부분이 없습니다.

      설치 파일이 있으시다면 국내 보안업체에 해당 파일에 대해 문의를 해보시기 바랍니다.