울지않는벌새 : Security, Movie & Society

샘플 동영상 보기를 이용한 악성코드 유포 주의 (2010.10.29)

벌새::Analysis

국내 인터넷 사용자를 대상으로 스팸(Spam) 이메일, 단축 URL을 통한 접속 등 다양한 경로를 통해 성인물 관련 홍보 사이트에 접속을 유도하여 샘플 동영상 보기를 위한 프로그램을 설치하도록 하는 방식으로 사용자 컴퓨터에 악성코드를 설치하는 방식이 계속적으로 확인이 되고 있으므로 주의가 요구됩니다.

해당 악성코드는 이전에 살펴본 유포 방식을 통한 악성코드 변종으로 공통적으로 성인물과 관련된 자극적 내용을 통해 사용자가 악성 파일을 실행하도록 유도하고 있습니다.

해당 악성 파일은 사용자가 샘플 동영상 보기 배너를 클릭할 경우, 해킹된 것으로 추정되는 국내 특정 쇼핑몰 사이트에 등록된 sample.exe (SHA1 : 5657e8f6fb8adf1517271bbac68c092ceaa65058) 파일을 다운로드하는 방식으로 유포가 이루어지고 있습니다.

해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Sasfis (VirusTotal : 30/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

sample.exe 파일 내부에는 ALZip SFX 실행 압축으로 구성된 1.exe (SHA1 : 9496b89411be4fa0ed7499d307d2838d20421198) 파일, AhnLab V3 보안 제품에서 Win-Trojan/Sasfis.303616.D (VirusTotal : 26/43) 진단명으로 진단되는 2.exe (SHA1 : 83ede5c4a0abcc71efd0efc22b3cbd868697ea71) 파일, 국내 특정 화상 채팅 설치 파일(Setup.exe)이 포함되어 있습니다.

사용자가 sample.exe 파일을 실제 실행한 경우 특정 화상 채팅 프로그램 설치 화면만이 구현이 되며, 그 과정에서 사용자 몰래 추가적인 악성 프로그램이 설치되는 동작이 이루어집니다.

[생성 파일 진단 정보]

C:\Program Files\Common Files\ODBC\sqlservt.exe (SHA1 : be54885b7d77fc1dfbba4c0c4e94fde0)
 - AhnLab V3 : Trojan/Win32.MSender (VirusTotal : 19/43)

C:\Program Files\Common Files\ODBC\SqlStarter.exe (SHA1 : fbe84e8fa2a72be983009f380dbdb6b8b8fff79b)
 - AhnLab V3 : Win-Trojan/Agent.92672.FY (VirusTotal : 7/43)

C:\Program Files\Common Files\ODBC\sqlupdate.exe (SHA1 : a1cd87493a89f74cb0c567151faca574)
 - AhnLab V3 : Dropper/Win32.MSender (VirusTotal : 32/43)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Downloader
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Downloader\Settings
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MailCom
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MailCom\Recent File List
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MailCom\Settings
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - sysfile = C:\Program Files\Common Files\ODBC\sqlupdate.exe

설치가 이루어진 환경에서 Windows 시작시 sqlupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 최종적으로 sqlservt.exe 프로세스를 메모리에 상주시키는 동작을 확인할 수 있습니다.

[sqlupdate.exe 파일 네트워크 연결 정보]

GET /version.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
If-Modified-Since: Tue, 20 Jul 2010 14:59:21 GMT
If-None-Match: "2669c4221c28cb1:242"
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)
Host: whoisxxx.net
Connection: Keep-Alive

sqlupdate.exe 파일은 홍콩에 위치한 특정 도메인에서 프로그램 버전 체크 및 sqlservt.exe 파일 다운로드를 하는 동작을 합니다.

최종적으로 메모리에 상주하는 sqlservt.exe 파일은 홍콩에 위치한 특정 서버와 통신을 시도하며 사용자 컴퓨터에서 다음과 같은 정보를 전송하는 것을 확인할 수 있습니다.
(컴퓨터 이름) / (OS 정보) / (CPU 정보) / (메모리 정보) / (하드 디스크 용량) / (사용자 IP 정보)
해당 악성 프로그램은 SMTP(Simple Mail Transfer Protocol)를 통해 smtp.gmail.com / fefdasfdasfdaq.hanmail.net 와 같은 계정을 이용하여 성인 관련 홍보 스팸 이메일 발송을 목적으로 하는 것으로 추정되며, 이를 위해 자극적인 문구를 통한 다양한 경로를 통해 좀비PC를 확보하는 것으로 판단됩니다.

실제 이번 유포 방식을 통해 사용자 컴퓨터에서는 화상 채팅을 목적으로한 메신저 프로그램만이 외형적으로 들어오겠지만, 실제로는 자신도 모르게 스팸 메일을 발송하는 좀비PC가 될 수 있기에 신뢰할 수 없는 사이트에서 제공하는 프로그램을 함부로 실행하지 않도록 주의하시기 바랍니다.