반응형
국내 블로그를 중심으로 웹하드 또는 게임 관련 패치 파일로 소개를 하면서 마이크로소프트(Microsoft)사에서 제작한 파일로 위장한 상업적 광고 목적의 악성 프로그램에 대해 살펴보도록 하겠습니다.
해당 악성코드는 7월 20일경에 블로그에 등록된 것으로 확인이 되며, 인터넷 사용자들이 많이 찾는 각종 불법 파일로 소개되어 있습니다.
다운로드 파일(MD5 : 1bd9ef37964eac51ad92388d737abcb2)은 Microsoft 업체에서 제공하는 파일로 소개되어 있으며, avast! 보안 제품에서는 Win32:Dropper-gen (VirusTotal : 14/42) 진단명으로 진단되고 있습니다.
해당 악성 프로그램을 설치할 경우 Cafe24 호스팅에 등록된 [h**p://www.net****.com:8080/services/winsync.exe (IP : 180.**.94.***)] 경로를 통해 winsync.exe 파일을 다운로드하여, Windows 시스템 폴더 내부에 파일을 생성하는 동작을 하고 있습니다.
winsync.exe 파일은 사용자 눈을 속이기 위하여 Microsoft사에서 제공하는 윈도우 동기화(Windows Synchronization) 관련 파일로 표기를 하고 있습니다.
동작 방식은 서비스 항목에 Windows Synchronization 이름으로 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
실제 해당 프로그램이 설치된 환경에서는 국내 웹하드(P2P) 관련 사이트가 출력되는 동작이 발생하는 것으로 알려져 있습니다.
메모리에 상주하는 winsync.exe 프로세스는 Listening 상태를 유지하고 있는 것을 확인할 수 있으며, 차후 국내인이 2010년 5월경 등록한 특정 도메인을 통해 추가적인 악의적 동작을 유발할 수 있습니다.
해당 악성코드를 제거하기 위해서는 AhnLab V3, 알약(AlYac) 보안 제품을 통해 시스템 정밀 검사를 하거나, 수동으로 제거를 원하시는 분들은 실행창에 [sc stop "SyncService"] 명령어를 통해 winsync.exe 프로세스를 종료한 후, winsync.exe 파일 및 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
인터넷 상에서 사용자 편의를 위한 불법 파일을 다운로드하여 실행시 해당 설치 파일이 사라지는 현상 등을 통해 수상한 동작이 발생할 경우에는 반드시 신뢰할 수 있는 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바라며, 기본적으로 이런 류의 프로그램을 함부로 실행하지 않도록 하시기 바랍니다.
해당 악성코드는 7월 20일경에 블로그에 등록된 것으로 확인이 되며, 인터넷 사용자들이 많이 찾는 각종 불법 파일로 소개되어 있습니다.
MD5 : 1bd9ef37964eac51ad92388d737abcb2
다운로드 파일(MD5 : 1bd9ef37964eac51ad92388d737abcb2)은 Microsoft 업체에서 제공하는 파일로 소개되어 있으며, avast! 보안 제품에서는 Win32:Dropper-gen (VirusTotal : 14/42) 진단명으로 진단되고 있습니다.
[생성 파일 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 영문+숫자)\winsync[1].exe (MD5 : a7ecf004bda048c9cc368daedc8b1b71)
- AhnLab V3 : Malware/Win32.Suspicious (VirusTotal : 25/42)
C:\WINDOWS\system32\ras\winsync.exe (MD5 : a7ecf004bda048c9cc368daedc8b1b71)
- AhnLab V3 : Malware/Win32.Suspicious (VirusTotal : 25/42)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random 8자리 영문+숫자)\winsync[1].exe (MD5 : a7ecf004bda048c9cc368daedc8b1b71)
- AhnLab V3 : Malware/Win32.Suspicious (VirusTotal : 25/42)
C:\WINDOWS\system32\ras\winsync.exe (MD5 : a7ecf004bda048c9cc368daedc8b1b71)
- AhnLab V3 : Malware/Win32.Suspicious (VirusTotal : 25/42)
해당 악성 프로그램을 설치할 경우 Cafe24 호스팅에 등록된 [h**p://www.net****.com:8080/services/winsync.exe (IP : 180.**.94.***)] 경로를 통해 winsync.exe 파일을 다운로드하여, Windows 시스템 폴더 내부에 파일을 생성하는 동작을 하고 있습니다.
winsync.exe 파일은 사용자 눈을 속이기 위하여 Microsoft사에서 제공하는 윈도우 동기화(Windows Synchronization) 관련 파일로 표기를 하고 있습니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SyncService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SyncService
동작 방식은 서비스 항목에 Windows Synchronization 이름으로 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
실제 해당 프로그램이 설치된 환경에서는 국내 웹하드(P2P) 관련 사이트가 출력되는 동작이 발생하는 것으로 알려져 있습니다.
메모리에 상주하는 winsync.exe 프로세스는 Listening 상태를 유지하고 있는 것을 확인할 수 있으며, 차후 국내인이 2010년 5월경 등록한 특정 도메인을 통해 추가적인 악의적 동작을 유발할 수 있습니다.
해당 악성코드를 제거하기 위해서는 AhnLab V3, 알약(AlYac) 보안 제품을 통해 시스템 정밀 검사를 하거나, 수동으로 제거를 원하시는 분들은 실행창에 [sc stop "SyncService"] 명령어를 통해 winsync.exe 프로세스를 종료한 후, winsync.exe 파일 및 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
인터넷 상에서 사용자 편의를 위한 불법 파일을 다운로드하여 실행시 해당 설치 파일이 사라지는 현상 등을 통해 수상한 동작이 발생할 경우에는 반드시 신뢰할 수 있는 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바라며, 기본적으로 이런 류의 프로그램을 함부로 실행하지 않도록 하시기 바랍니다.
728x90
반응형