본문 바로가기

벌새::Analysis

Torrent를 이용한 일본 AV 스타 랭킹 관련 악성코드 유포 (2010.8.23)

반응형
국내 인터넷 게시판을 통해 일본 AV 스타 랭킹 정보를 다운로드할 수 있다는 내용으로 구성된 토렌트 시드(Torrent Seed) 파일을 이용해 사용자가 악성코드를 다운로드하도록 유도하는 행위를 확인하였습니다.

배포자가 등록한 [일본 av 배우 랭킹 100 검색기]라는 제목의 Seed 파일을 이용해 일본AV랭킹100.exe 파일을 다운로드하도록 유도하고 있습니다.

일본AV랭킹100.exe(MD5 : 9c5feb827f09493a16bcef4c5b9e5b5c) 파일은 오픈 소스(Open Source) 압축 프로그램 7-Zip SFX 압축 파일로 제작되어 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Packed/Win32.Black (VirusTotal : 17/40) 진단명으로 진단되고 있습니다.

av100.exe

해당 파일을 실행할 경우 사용자 화면에서는 [일본 AV 스타 랭킹]이라는 제목의 그림과 같은 화면이 생성됨과 동시에 사용자 몰래 추가적인 악성코드를 설치하는 동작을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\Program Files\Common Files\ODBC\sqlservt.exe (MD5 : ea3c93acee9f5d1f92cc99d5bb561ea9)
 - AhnLab V3 : Packed/Win32.Black (VirusTotal : 15/42)

C:\Program Files\Common Files\ODBC\SqlStarter.exe (MD5 : 5e4295d9780eda32068a124c0dfc0c3f)
 - AhnLab V3 : Win-Trojan/Agent.47104.SL (VirusTotal : 17/42)

C:\Program Files\Common Files\ODBC\sqlupdate.exe (MD5 : 771936af7be3a14f08b1e274f3e6cb87)
 - AhnLab V3 : Packed/Win32.Black (VirusTotal : 19/41)

해당 악성코드는 최근 소개한 ALZip SFX 압축 방식 또는 Spam 이메일을 통한 유포 방식으로 감염을 유발하는 악성코드의 변종임을 확인할 수 있습니다.

기존과 다소 다른점은 생성되는 파일 중 SqlStarter.exe / sqlupdate.exe 파일 속성이 기존의 읽기 전용(R), 숨김(H) 속성값을 가지고 있지 않는다는 점입니다.

이번 역시 Windows 시작시 시작 프로그램으로 등록하여 자동 실행되면서 sqlservt.exe 파일이 필리핀에 등록된 서버와 연결을 시도하는 것을 확인할 수 있었으며, 기존의 117.58.197.66:5011 아이피(IP)에서 119.111.141.100:5011 IP로 변경되어 있습니다.

[sqlupdate.exe 네트워크 연결 정보]

GET /version.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
If-Modified-Since: Thu, 05 Aug 2010 04:20:54 GMT
If-None-Match: "bfc5d985534cb1:0"
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: xxxxxiiiii.com
Connection: Keep-Alive


또한 네트워크 연결 정보를 확인해 보면 등록된 도메인은 국내 네이버(Naver) 계정 소유자로 확인이 되므로 해외인이 아닌 국내인의 소행으로 추정됩니다.

해당 악성코드는 전형적으로 성인 관련 동영상, 사진 등의 자극적 내용으로 사용자들이 파일을 실행하도록 유도한다는 점과 SFX 압축 방식을 이용한다는 공통점이 있으므로 인터넷 상에서 이와 유사한 내용으로 다운로드된 파일을 실행하도록 유도할 경우에는 절대로 실행하지 않도록 주의하시기 바랍니다.

728x90
반응형
  • 이거 무섭네요 ;;

    하지만 이런것을 보면 말이지요 ...

    외국에서는 외국 배우로 악성코드를 심는다고 하는데

    야동으로 ;; 이런 악성코드를 보면 ;;

    성욕에 많이 매달리는 한국인 같습니다 ......

  • P2P나 웹하드로 뿌리더니 이젠 토렌트로도 뿌리는군요..

  • 사람의 호기심을 자극하는것이 아마도 효과가 좋은것 같습니다.

  • 바제2 에도 저런 류의 샘플이....
    올라온던 적이 있었죠 ㅎㅎ;

  • 로햐 2010.09.18 18:31 댓글주소 수정/삭제 댓글쓰기

    저 지금 저게 깔려있어서 뭔가 하고 검색해서 이 티스토리에 들어오게 되었어요~ 저거 없애려하는데 어떻해야하죠??전 여자라서 야동에 관심없는데ㅠㅠ;;왜 저런게 깔려있나 모르겠어요..이번일을 계기로 av의 뜻도 어렴풋이 알아버렸네요ㅠㅠ;;;;;;도와주세요~어떻게 없애나요?바탕화면에 있는걸 삭제하려고 휴지통에 넣으면 제어판에서 없애라구 해요!~ㅠㅠ

    • 안녕하세요.

      현재 말씀하신 프로그램을 제거하시려면 안철수연구소에서 제공하는 V3 Lite 보안 제품을 이용하여 정밀 검사를 해보시기 바랍니다.

      아마 모든 파일을 진단 및 치료가 가능하리라 생각됩니다.^^

  • 소스 2011.02.12 09:49 댓글주소 수정/삭제 댓글쓰기

    저희집도 그래서 님이 말한대로 정밀검사를 해보고 휴지통에 넣었는데 아직도 제어판에서 없애라고 해서ㅜㅜ어떻게 해야할지...ㅜㅜ