본문 바로가기

벌새::Analysis

국내 악성코드 : TrojanDownloader:Win32/Parkchicers (Microsoft)

최근 4월경에 마이크로소프트(Microsoft)사에서 제공하는 보안 제품 진단명에 추가된 TrojanDownloader:Win32/Parkchicers 진단명에 사용된 이름이 매우 국내 악성코드를 지목하는 것처럼 보여서 추가적인 확인을 해보았습니다.

현재 마이크로소프트사에 등록된 해당 진단명은 TrojanDownloader:Win32/Parkchicers.A(B / C)로 분류되어 있는 것으로 보아 다수의 변종이 존재할 것으로 추정됩니다.

확인 과정에서는 TrojanDownloader:Win32/Parkchicers.A 진단명으로 진단되는 IPnMAC.exe(MD5 : faa4c3d9bfce1075a3bdbf116ff277fe) 파일을 통해 확인해 보도록 하겠습니다.
IPnMAC.exe 파일은 그림과 같이 마이크로소프트사에서 제공하는 Fiddler Web Debugger 프로그램의 아이콘과 동일한 아이콘으로 위장하여 정상적인 프로그램처럼 구성되어 있습니다.

참고로 IPnMAC.exe 파일에 대해서 안철수연구소(AhnLab) 보안 제품에서는 Win-Trojan/Agent.615424.G (VirusTotal : 27/40) 진단명으로 진단을 하고 있습니다.

해당 프로그램이 어떤 경로를 통해 사용자 시스템을 감염시키는지 알 수는 없지만, 특정 프로그램을 설치하는 과정에서 사용자 몰래 설치될 것으로 추정됩니다.

[IPnMAC.exe 관련 URL 정보]

h**p://220.**.213.***/Common/1003/check.sys
h**p://114.***.112.***/GFX/GFX.exe
h**p://220.**.213.***/GFX/GFX.sys
h**p://114.***.112.***/PCGreen/PCGreen.exe
h**p://220.**.213.***/PCGreen/PCGreen.sys

해당 악성코드가 실행되면 특정 아이피(IP) 2곳에서 파일을 다운로드하여 사용자 시스템에 설치를 시도합니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\GMarket\GFX.exe (ViRobot : Trojan.Win32.Scar.238592)
C:\Program Files\PCGreen\PCGreen.exe (AhnLab : Win-Adware/PCGreen.225280)
C:\WINDOWS\temp\GFX.sys
C:\WINDOWS\temp\PCGreen.sys

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\GFX
HKEY_CURRENT_USER\Software\IPnMAC
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - GFX = C:\Program Files\GMarket\GFX.exe
 - PCGreen = C:\Program Files\PCGreen\PCGreen.exe

HKEY_CURRENT_USER\Software\PCGreen
 
생성된 폴더와 파일명은 국내 유명 쇼핑몰 G마켓(GMarket)과 네이버(Naver)에서 제공하던 무료 백신 PC그린(PCGreen, 현 네이버 백신(Naver Vaccine))의 이름을 모방하여 설치가 되어 사용자의 눈을 속이고 있는 것을 확인할 수 있습니다. 특히 PCGreen.exe 파일의 아이콘 모양 역시 마치 보안 제품으로 착각하게 만들고 있습니다.

이렇게 설치된 파일은 Windows 시작시 GFX.exe / PCGreen.exe 파일을 시작 프로그램으로 등록하여 특정 서버에 연결하는 동작을 하고 있습니다.

[GFX.exe 네트워크 연결 정보]

GET /GFX/GFX.sys HTTP/1.1
User-Agent: IEUpdate
Host: 220.**.213.***
Connection: Keep-Alive
Pragma: no-cache

[PCGreen.exe 네트워크 연결 정보]

GET /PCGreen/PCGreen.sys HTTP/1.1
User-Agent: PCGreen
Host: 220.**.213.***
Connection: Keep-Alive
Pragma: no-cache

PCGreen.exe 파일에 대한 안철수연구소 진단명 Win-Adware/PCGreen.225280의 세부적인 내용을 참고해 본다면 사용자가 시스템을 시작시 매번 특정 서버에 연결하여 파일 다운로드를 통한 프로그램 유지 및 체크 기능을 통해 사생활 침해 요소를 가지고 있는 것으로 보입니다.

마이크로소프트사에서 해당 악성코드를 진단하는데 있어서 Parkchicers이라는 다소 한국적인 이름을 사용했는지는 모르겠지만, 덕분에 Avira AntiVir 제품에서도 해당 진단명에 사용된 이름을 참조하여 다음과 같은 진단명으로 진단하는 것을 확인할 수 있었습니다.

TR/Dldr.Parkchicers.A
TR/Dldr.Parkchicers.A.1
TR/Dldr.Parkchicers.B
TR/Dldr.Parkchicers.C

과거 영국 보안 업체 Sophos에서 W32/Kimchi-A 진단명을 추가되었던 것으로 기억되는데(당시 악성코드가 국내 악성코드인지 확인 불가), 이처럼 국내 악성코드 중에서 한국적 이름으로 진단명에 들어가는 경우가 있는 특이한 사례가 아닌가 생각됩니다.