울지않는벌새 : Security, Movie & Society

ALZip SFX 압축을 이용한 동영상 감상 유도 악성코드 유포 주의 (2010.8.10)

벌새::Analysis
최근 국내 단축 URL 링크를 이용하여 이스트소프트(ESTSoft)사의 압축 프로그램 알집(ALZip) SFX 방식으로 압축한 악성코드가 유포되는 것을 확인하였습니다.

[악성코드 유포 경로]

<단축 URL>                                  <iframe>
h**p://km****.**.hn                         h**p://juda****.com/1.html
h**p://hot*****.***.co                       - h**p://juda****.com/AdobeFlashPlayer.exe

유포 방식은 인터넷 게시판, 이메일 등을 통해 특정 단축 URL에 접근을 하도록 유도하여 iframe을 이용한 특정 악성 페이지를 그림과 같이 구현하여 제공되는 동영상 감상을 위해 최종적으로 AdobeFlashPlayer.exe 파일을 다운로드하도록 유도하고 있습니다.


다운로드된 AdobeFlashPlayer.exe(MD5 : 802e753fb7cfb529b5230b6f9a63da51) 파일은 알집으로 압축하여 국내 인터넷 사용자를 대상으로 한 것으로 추정되며, 실행시 자동으로 압축이 해제되어 실행되도록 구성되어 있습니다.

해당 파일에 대해서는 안철수연구소(AhnLab) V3 보안 제품에서 ASD.Prevention (VirusTotal : 1/42) 진단명으로 사전 차단을 하고 있습니다.

해당 파일은 8월 1일경에 제작된 것으로 보이며, 바이러스토탈(VirusTotal)에 첫 등록은 8월 9일입니다.

특히 ALZip SFX 압축 방식을 통해 사용자 눈에 익숙한 방식과 실행시 보안 제품 진단 우회 및 자동 실행을 감안한 방식으로 되어 있지 않나 생각됩니다.

[관련 URL 정보]

h**p://juda****.com/version.txt
h**p://juda****.com/sqlservt.exe

[생성 파일 진단 정보]

C:\Program Files\Common Files\sqlservt.exe (MD5 : b2d2f1a29f9b721f9bf3c35474a7e437)
AhnLab V3 : Packed/Win32.Black (VirusTotal : 15/42)

C:\Program Files\Common Files\ODBC\SqlStarter.exe (MD5 : 5e4295d9780eda32068a124c0dfc0c3f)
TrendMicro : TROJ_DELF.KNO (VirusTotal : 10/42)

C:\Program Files\Common Files\ODBC\sqlupdate.exe (MD5 : 272056aba4a6657a76ce375d702fc263)
Microsoft : VirTool:Win32/Obfuscator.XX (VirusTotal : 18/42)

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - sysfile = C:\Program Files\Common Files\ODBC\sqlupdate.exe

프로그램이 설치된 경우 Windows 시작시 sqlupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[sqlupdate.exe 네트워크 연결 정보]

GET /version.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
If-Modified-Since: Tue, 20 Jul 2010 16:12:17 GMT
If-None-Match: "2d181f532628cb1:382"
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: juda****.com
Connection: Keep-Alive

(컴퓨터 이름) / (OS 정보) / (CPU 정보) / (메모리 정보) / (하드 디스크 용량) / (사용자 IP 정보)

실행된 파일은 프로그램 버전 체크 및 설치된 사용자 컴퓨터의 각종 정보를 외부로 유출하고 있는 부분을 확인할 수 있었습니다.

sqlservt.exe

실행된 프로그램은 sqlservt.exe 프로세스를 메모리에 상주하여 특정 서버와 연결을 시도하고 있으며, 해당 서버는 필리핀에 위치한 서버로 확인이 되고 있습니다.

SqlStarter.exe

SqlStarter.exe 파일은 자신을 숨기고 삭제를 방해할 목적으로 숨김(H), 읽기 전용(R) 속성을 가지고 있으며, Themida 패커로 제작되어 있습니다.

sqlupdate.exe

sqlupdate.exe 파일 역시 Themida 실행 압축과 함께 숨김(H), 읽기 전용(R) 속성을 가지고 있으며 마이크로소프트(Microsoft) Office 관련 파일로 위장을 하고 있습니다.

테스트 과정에서는 어떤 추가적인 동작은 확인되지 않았지만, 각종 악성코드 다운로드 및 스팸 메일 발송 등이 발생할 수 있으므로 수상한 링크를 이용한 동영상 감상을 위한 프로그램 설치를 요구하는 경우에는 함부로 파일 설치를 하지 않도록 주의하시기 바랍니다.