본문 바로가기

벌새::Analysis

국내 악성코드 : 온디스크(OnDisk) 추천인 아이디 등록을 추가하는 ondisk.exe

국내 웹하드 서비스 온디스크(OnDisk)에 회원 가입을 하는 과정에서 사용자 몰래 악성 파일로 인하여 추천인 등록이 이루어지도록 제작된 것으로 추정되는 ondisk.exe 파일을 확인하였습니다.

참고로 과거부터 웹하드 포인트핵과 관련된 사기성 파일들이 인터넷 상에서 많이 유포가 되고 있으므로 참고하시기 바랍니다.

해당 파일(MD5 : f04c286a74633c5d09bf53c86b384782)은 9월경부터 유포가 이루어진 것으로 추정이 되며, BitDefender 보안 제품에서는 Trojan.Generic.4862736 (VirusTotal : 13/41) 진단명으로 진단되고 있습니다.

해당 파일은 ondisk.exe 파일 단독으로 유포가 되고 있으며, 파일 아이콘은 온디스크 관련 파일과 유사한 것으로 보입니다. 참고로 해당 파일의 원본 파일 이름은 Project1.exe로 등록되어 있습니다.

[시작 프로그램 등록 레지스트리 정보]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - ondisk = C:\(ondisk.exe 파일 위치 폴더)\ondisk.exe


사용자가 해당 파일을 실행하면 자동으로 시작 프로그램에 ondisk 항목으로 등록이 이루어져, Windows 시작시 매번 자동으로 실행되도록 구성되어 있습니다.

실행된 ondisk.exe 프로세스는 메모리에 상주하면서 국내 아이피(IP) 113.10.8.14:80 으로 통신을 시도하는 것을 확인할 수 있습니다.

기본적으로 해당 악성 파일이 어떤 동작을 하는지 회원 가입 절차에 관련지어 추정해 보도록 하겠습니다.

출처 : 온디스크(OnDisk)

온디스크 홈페이지에서 제공하는 무료 회원 가입 절차 양식을 살펴보면 아이디(ID), 비밀번호 등록 및 확인, 닉네임, 이메일 입력으로 구성되어 있습니다.

출처 : 온디스크(OnDisk)

하단에는 총 4가지의 약관 동의 절차를 체크하도록 설정되어 있으며, 해당 부분에 대하여 악성 파일에서는 다음과 같이 회원 가입시 사용자 몰래 추가적인 정보를 등록하고 있습니다.

ondisk.exe

해당 파일이 Windows 시작과 함께 자동 실행된 상태에서 사용자가 온디스크 메인 사이트에 접속하여 무료 회원 가입 절차를 시작하면 위에서 언급한 순서대로 정보가 체크되는 과정에서 [hack.******.kr] 도메인에 등록된 특정 온디스크 아이디를 추천인 아이디로 등록하는 과정이 포함되어 있는 것을 확인할 수 있습니다.

실제 문제의 도메인에서는 해당 파일 제작자로 추정되는 사람이 사이트 해킹 등을 한다고 자랑스럽게 기록하고 있는 것을 보아, 위와 같은 악성 파일을 유포하여 금전적 수익을 얻고 있으리라 추정됩니다.

특히 해당 파일은 동일한 아이콘 모양으로 인해 사용자에게 혼동을 주며, 온디스크 프로그램이 설치된 사용자는 쉽게 의심하지 않고 설치하거나 실행할 수 있으리라 추정됩니다.

테스트에서는 외부로 온디스크 계정 정보가 유출되는 부분은 확인하지 않았지만, 파일 자체가 외부와 통신이 가능한 상태로 유지가 되므로 정보 유출 가능성도 배제할 수 없으므로 주의를 하시기 바랍니다.