울지않는벌새 : Security, Movie & Society

Torrent를 이용한 일본 AV 스타 랭킹 관련 악성코드 유포 (2010.8.23)

벌새::Analysis
국내 인터넷 게시판을 통해 일본 AV 스타 랭킹 정보를 다운로드할 수 있다는 내용으로 구성된 토렌트 시드(Torrent Seed) 파일을 이용해 사용자가 악성코드를 다운로드하도록 유도하는 행위를 확인하였습니다.

배포자가 등록한 [일본 av 배우 랭킹 100 검색기]라는 제목의 Seed 파일을 이용해 일본AV랭킹100.exe 파일을 다운로드하도록 유도하고 있습니다.

일본AV랭킹100.exe(MD5 : 9c5feb827f09493a16bcef4c5b9e5b5c) 파일은 오픈 소스(Open Source) 압축 프로그램 7-Zip SFX 압축 파일로 제작되어 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Packed/Win32.Black (VirusTotal : 17/40) 진단명으로 진단되고 있습니다.

av100.exe

해당 파일을 실행할 경우 사용자 화면에서는 [일본 AV 스타 랭킹]이라는 제목의 그림과 같은 화면이 생성됨과 동시에 사용자 몰래 추가적인 악성코드를 설치하는 동작을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\Program Files\Common Files\ODBC\sqlservt.exe (MD5 : ea3c93acee9f5d1f92cc99d5bb561ea9)
 - AhnLab V3 : Packed/Win32.Black (VirusTotal : 15/42)

C:\Program Files\Common Files\ODBC\SqlStarter.exe (MD5 : 5e4295d9780eda32068a124c0dfc0c3f)
 - AhnLab V3 : Win-Trojan/Agent.47104.SL (VirusTotal : 17/42)

C:\Program Files\Common Files\ODBC\sqlupdate.exe (MD5 : 771936af7be3a14f08b1e274f3e6cb87)
 - AhnLab V3 : Packed/Win32.Black (VirusTotal : 19/41)

해당 악성코드는 최근 소개한 ALZip SFX 압축 방식 또는 Spam 이메일을 통한 유포 방식으로 감염을 유발하는 악성코드의 변종임을 확인할 수 있습니다.

기존과 다소 다른점은 생성되는 파일 중 SqlStarter.exe / sqlupdate.exe 파일 속성이 기존의 읽기 전용(R), 숨김(H) 속성값을 가지고 있지 않는다는 점입니다.

이번 역시 Windows 시작시 시작 프로그램으로 등록하여 자동 실행되면서 sqlservt.exe 파일이 필리핀에 등록된 서버와 연결을 시도하는 것을 확인할 수 있었으며, 기존의 117.58.197.66:5011 아이피(IP)에서 119.111.141.100:5011 IP로 변경되어 있습니다.

[sqlupdate.exe 네트워크 연결 정보]

GET /version.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
If-Modified-Since: Thu, 05 Aug 2010 04:20:54 GMT
If-None-Match: "bfc5d985534cb1:0"
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: xxxxxiiiii.com
Connection: Keep-Alive

또한 네트워크 연결 정보를 확인해 보면 등록된 도메인은 국내 네이버(Naver) 계정 소유자로 확인이 되므로 해외인이 아닌 국내인의 소행으로 추정됩니다.

해당 악성코드는 전형적으로 성인 관련 동영상, 사진 등의 자극적 내용으로 사용자들이 파일을 실행하도록 유도한다는 점과 SFX 압축 방식을 이용한다는 공통점이 있으므로 인터넷 상에서 이와 유사한 내용으로 다운로드된 파일을 실행하도록 유도할 경우에는 절대로 실행하지 않도록 주의하시기 바랍니다.