최근 국내 인터넷 게시판을 통해 유튜브(YouTube) 매쉬업(Mash-Up) 프로그램으로 소개를 하면서 설치 파일 다운로드는 해외 업체가 아닌 티스토리(Tistory) 블로그로 연결하여 악성코드를 유포하는 행위를 확인하였습니다.

해당 유포 행위에 대해 확인을 하던 중 추가적으로 이번에 이용된 지오디오(ZioDio) 플레이어 역시 문제가 있는 부분이 발견되어 함께 분석 정보를 공개하겠습니다.

참고로 국내에서는 다양한 유튜브 메쉬업 프로그램이 발견되고 있으며, 개인적인 판단으로는 이런 류의 프로그램을 통해 제휴(스폰서) 프로그램 배포의 통로로 이용하는 것이 아닌가하는 생각도 합니다.

유포 방식은 그림과 같이 게시판에 프로그램을 소개하면서 다운로드 경로는 해당 프로그램 경로를 텍스트로 제시하고 있습니다.

하지만 실제 다운로드되는 경로는 특정 티스토리(Tistory) 블로그의 첨부 파일로 연결이 되어 있으며, 해당 블로그는 어떠한 정보도 게시되어 있지 않는 파일 유포처로 이용되고 있는 것으로 확인이 됩니다.

블로그를 통해 다운로드된 파일과 해당 플레이어 공식 사이트에서 제공하는 설치 파일과는 아이콘이 다소 다르게 구성된 것을 확인할 수 있습니다.

[제작사 제공 공식 설치 파일 정보]

1. 제작일 : 2009년 10월경
2. MD5 : 2665faaf31c4e8c0711b6bbf40da847f
3. 보안 제품 진단 정보
 - AVG : Downloader.Agent2.ZEX (VirusTotal : 11/42)

[티스토리 블로그를 통한 설치 파일 정보]

1. 제작일 : 2010년 7월 8일경
2. MD5 : 96be8408fa9fe893791397b43a161396
3. 보안 제품 진단 정보
 - BitDefender : Trojan.Generic.4441200 (VirusTotal : 19/42)

제작사 제공 공식 설치 파일 내부

해당 플레이어 공식 사이트에서 제공하는 설치 파일의 내부 파일 구성을 살펴보면 플레이어 이외의 추가적인 파일은 발견되지 않고 있습니다.

티스토리 블로그를 통한 설치 파일 내부

하지만 티스토리 블로그를 통해 다운로드된 설치 파일 내부에서는 제작사 제공 설치 파일 이외에 0708zio.exe 파일이 포함되어 있는 것을 확인할 수 있습니다.

0708zio.exe(MD5 : f20a23f22842b8bdcbaa87eb0db15445) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 AhnLab V3 : Trojan/Win32.Gen (VirusTotal : 15/42) 진단명으로 진단되고 있는 것을 확인할 수 있습니다.

실제 티스토리 블로그를 통해 다운로드된 파일을 이용하여 설치를 진행해 보면, 사용자 시스템 환경에 따라서 Project1 이라는 오류 메시지 창을 통해 MSINET.OCX 파일과 관련된 문제로 런타임 오류가 발생하여 설치가 이루어지지 않는 것을 확인할 수 있습니다.

하지만 특정 시스템 환경에서는 아마 사용자가 인지하지 못하는 과정을 통해 해당 플레이어 설치시 정상적으로 설치가 이루어질 것으로 추정됩니다.

0708zio.exe

 테스트를 위해 0708zio.exe 파일이 어떤 동작을 하는지 내부를 살펴보면 특정 서버에 접속하여 최종적으로 odiozi_in.exe 파일을 다운로드하는 동작을 확인할 수 있었습니다.

odiozi_in.exe(MD5 : 5372a6d7c3232787178117acd0c1115c) 파일은 nProtect 보안 제품에서 BitDefender 엔진을 이용하여 Dropped:Trojan.Generic.4463131 (VirusTotal : 20/42) 진단명으로 진단이 이루어지고 있으며, AhnLab V3 제품에서도 Trojan/Win32.Gen 진단명으로 진단이 되고 있습니다.

다운로드된 odiozi_in.exe 파일이 설치하는 내부 파일을 살펴보면 odiozi.exe 파일 속성에서 국내 포털 파란(Paran)에서 제작한 것으로 위장하고 있는 것을 확인할 수 있습니다.

해당 악성 프로그램이 어떤 동작을 하는지는 다음에 살펴보도록 하겠으며, 1차적으로 이번 티스토리 블로그를 통한 유포 파일은 누가 제작을 하였는지 알 수는 없지만 업체에서 제공하는 설치 파일을 이용한 악성코드 유포 행위임을 확인할 수 있습니다.

그렇다면 왜 일부 보안 제품에서 지오디오 플레이어 자체를 악성코드로 진단하는지를 살펴보도록 하겠습니다.

해당 프로그램은 그림과 같이 설치 과정에서 정상적인 이용약관과 플레이어만을 설치하는 것을 확인할 수 있습니다.

하지만 설치된 프로그램의 동작 방식에서 Windows 시작시 jiodio_update.exe 파일을 시작 프로그램으로 등록하여 특정 서버에 접속하여 업데이트 체크를 하는 동작이 발생합니다.

[jiodio_update.exe 네트워크 연결 정보]

GET /update/update1/update_jiodio.php HTTP/1.1
User-Agent: total
Host: update.ziodio.co.kr
Cache-Control: no-cache

이 과정에서 테스트에서는 추가적인 다운로드 동작이 확인되지 않았지만, 해당 업데이트 서버에서는 스폰서 프로그램이 다수 발견되고 있으며, 이들 프로그램 중에서는 MD5값 65ea0786f6b8208073f652db5342a30e을 가지는 파일의 경우 하우리 바이로봇(Hauri ViRobot) 보안 제품에서 Spyware.GomWorld.Do.55968 (VirusTotal : 1/42) 진단명으로 진단되는 국내 악성코드가 포함되어 있는 것을 확인할 수 있습니다.

현재는 배포자가 설치를 하려는 시도는 없지만 차후 악용 소지가 다분한 플레이어 업데이트가 존재하므로 일부 보안 제품에서 진단이 이루어지고 있는 것으로 추정됩니다.

그러므로 프로그램을 다운로드하실 때에는 되도록 블로그 첨부 파일을 통한 다운로드는 매우 주의하시기 바라며, 게시판에 제시하는 링크와 실제 다운로드 주소가 다르게 구성된 경우에는 의심을 먼저 하시기 바랍니다.

 Update : odiozi_in.exe 파일 분석 (2010.7.28)

변조된 지오디오(ZioDio) 플레이어 내부에 존재하는 0708zio.exe 파일이 최종적으로 다운로드하는 odiozi_in.exe 파일의 동작은 다음과 같습니다.

[생성 파일 진단 정보]

C:\WINDOWS\system32\odiozi.exe (MD5 : 400c1652392d9f4ab658cecba631f08f)
AhnLab V3 : Win-Trojan/Agent.90112.ZN (VirusTotal : 23/41)

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\App Paths\odiozi.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run
 - odiozi = C:\WINDOWS\system32\odiozi.exe

해당 파일은 Windows 시스템 폴더 내부에 파란(Paran)에서 제작한 파일로 위장한 odiozi.exe 파일을 생성하며, Windows 시작시 시작 프로그램으로 등록하여 특정 서버와의 연결을 시도하고 있습니다.

[odiozi.exe 네트워크 연결 정보]

POST /log/install.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Microsoft URL Control - 6.01.9782
Host: admin.is-admin.com
Content-Length: 35
Cache-Control: no-cache

POST /odiozi_zio.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Microsoft URL Control - 6.01.9782
Host: www.muhan***.net
Content-Length: 9
Cache-Control: no-cache

해당 연결 서버를 통해 프로그램 설치 로그(Log) 기록 및 특정 서버로 부터 추가적인 악성 프로그램을 다운로드할 것으로 추정됩니다.

현재 문제의 서버가 죽은 상태로 보이므로 추가적인 다운로드 정보는 확인할 수 없지만, 악용 소지가 다분하며, 해당 플레이어 제공 업체와 연관된 서버가 포함된 것으로 보이므로 전체적으로 해당 악성코드는 업체에서 제작한 것이 아닌가 강하게 의심이 듭니다.


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..