국내 공개 자료실을 통해 유포되는 cssrsc.exe 다운로더

예전부터 국내에서 제휴(스폰서) 프로그램 배포 방식으로 새롭게 등장한 공개 자료실 형태에 대해 언급한 적이 있는데, 최근 기존에 알려진 특정 도메인과 연관된 새로운 배포 파일을 발견하였습니다.

• <Right Security Blog> 조이하드(JoyHard) 웹하드 프로그램 주의 (2010.2.17)
• 공개 자료실을 이용한 다운로더(Downloader)와 제휴(스폰서) 프로그램 (2010.2.23)
• 블로그를 통한 알약(AlYac) 설치 파일 다운로드 주의 (2010.4.22)

이번에 확인한 프리ㅇㅇ 공개 자료실의 유포 방식은 ActiveX 설치 방식이 아닌 동일한 DownControl 이라는 이름의 다운로더(Downloader) 파일(MD5 : 1414fa642a2633fe34695c68ef0fd54f)을 사용자가 실행할 경우 소프트웨어 다운로드 이전에 사용자 몰래 프로그램을 설치하는 방식입니다.

사용자가 해당 공개 자료실에서 특정 소프트웨어를 다운로드하기 위해 임의의 파일을 다운로드하여 실행할 경우, 사용자 화면에서는 공개 자료실 심파일(SimFile)과 유사한 DownControl 화면이 생성되는 것을 확인할 수 있습니다.

해당 화면에서는 제휴(스폰서) 프로그램이 추가되어 있으며, 사용자가 해당 소프트웨어를 다운로드할지 여부를 결정하기 이전에 다음과 같은 동작을 사용자 몰래 진행합니다.

즉, 1~3번까지의 URL 정보는 위의 DownControl 생성시 연결되는 정보이며, 하단의 o-k-g-o.com 도메인을 통해 파일 다운로드 동작은 사용자 몰래 시스템에 프로그램을 설치하는 동작입니다.

[생성 파일 진단 정보]

C:\WINDOWS\system32\cssrscSetup.exe (BitDefender : Gen:Win32.Malware.luZ@a8uOzohi)
C:\Documents and Settings\(사용자 계정)\Templates\cssrscUpdater.exe (ViRobot : Trojan.Win32.Downloader.229376.M)

사용자 동의없이 설치된 프로그램은 Windows 시작시 cssrsc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 메모리에 상주하여 동작하도록 구성되어 있습니다.

[cssrsc.exe 네트워크 연결 정보]

GET /cssrsc/cssrsc.ini HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: o-k-g-o.com
Connection: Keep-Alive

POST /cssrsc/log2.php?msg=fd/30e4b3a1/1/1.0.0.3/4/0/8.0/0 HTTP/1.1
User-Agent: cssrsc
Host: o-k-g-o.com
Content-Length: 0
Cache-Control: no-cache

이렇게 설치된 cssrsc.exe 프로세스는 Windows에서 제공하는 핵심 프로세스 csrss.exe (Client/Server Runtime Server Subsystem) 프로세스와 유사한 이름과 동일한 경로로 구성하여 사용자는 단순히 프로세스 이름으로 구분하지 못하게 위장을 하고 있습니다.

해당 cssrsc.exe 프로세스는 작업 스케줄러 어플이라는 설명을 포함하고 있으며, 실제 동작시 다음과 같은 특정 서버 파일을 참조하고 있습니다.

해당 cssrsc.ini 파일 내용을 통해 유추해 보면 특정 시간대에 사용자 컴퓨터에 추가적인 프로그램을 설치할 가능성이 있을 것으로 보이며, 자신도 모르게 프로그램이 설치되는 경험을 하시는 분들은 이런 방식으로 유포가 이루어질 수 있다는 하나의 사례로 이해를 하시면 될 것 같습니다.

해당 프로그램은 자체적인 삭제 기능을 제공하지 않으며, 파일 생성 위치가 분석을 목적으로 확인하지 않는 이상 찾기 어려운 위치에 존재하므로 수동으로 제거를 하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\cssrsc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - cssrsc = C:\WINDOWS\system32\cssrsc.exe /run

현재 국내에 다수의 공개 자료실 형태로 국내외 유명 소프트웨어를 배포하면서 제휴(스폰서) 프로그램을 추가하거나, 위와 같이 사용자 몰래 프로그램을 설치하는 곳도 존재하므로 소프트웨어 다운로드는 제작사 사이트를 이용하시는 습관이 중요합니다.