이들이 악성 프로그램을 유포하는 방식이 각종 호기심을 자극하는 파일로 위장하여 블로그, P2P, 인터멧 카페 등의 게시판을 통해 유포하였으며, 실제 감염된 PC의 경우 보안 제품에서 진단하는 악성 파일인데도 사용자의 관리 부실로 엄청난 DDoS 공격이 가능했던 것으로 보입니다.
이런 경우 왜 사용자들은 보안 제품에서 진단하는데도 방치하는가에 대해 생각해보면 의외로 일반 사용자들은 불법적인 파일에 대하여 보안 제품에서는 당연히 진단하는 것이므로 자신들이 유용하다고 판단되는 프로그램에 대한 진단은 무시하는 경향이 있지 않았나도 생각됩니다.
이번 검거 소식이 전해지고 인터넷 상에서 유사한 사례가 있는지 확인을 하던 중에 스타맵핵 프로그램 속에 숨겨진 백도어(Backdoor) 프로그램이 있는 파일을 모 블로그에서 확인하여 주의를 환기시켜 보겠습니다.
해당 프로그램의 유포 방식은 2010년 8월 중순경 블로그상에 스타맵핵 프로그램으로 소개하여 첨부된 파일을 다운로드하도록 유도하고 있습니다.
다운로드된 설치 파일(SHA1 : 125fc30e055b221b5a32f62170d71bc28860c81a)에 대하여 Kaspersky 보안 제품에서만 Backdoor.Win32.PcClient.ebes (VirusTotal : 2/43) 진단명으로 진단이 되고 있습니다.
설치 과정은 일반적인 스타맵핵 프로그램 속에 악성 파일을 추가한 방식이므로 외형적으로 사용자는 스타맵핵 프로그램이 설치되는 것으로 인지하게 됩니다.
C:\Program Files\스타맵핵\!Readme - Oblivion.rtf
C:\Program Files\스타맵핵\Demo Info.txt
C:\Program Files\스타맵핵\Demo License.txt
C:\Program Files\스타맵핵\Demo ReadMe.txt
C:\Program Files\스타맵핵\IFU1CF.inf :: 숨김(H) 속성
C:\Program Files\스타맵핵\Oblivion.dll
C:\Program Files\스타맵핵\Oblivion.ini
C:\Program Files\스타맵핵\OOO.exe
C:\Program Files\스타맵핵\zLoader.exe
C:\Program Files\스타맵핵\zLoader.snp
C:\Program Files\스타맵핵\패치프로그램.exe
C:\WINDOWS\IFinst27.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\스타맵핵.LNK
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\스타맵핵\스타맵핵 삭제.LNK
이렇게 설치된 스타맵핵 프로그램은 [C:\Program Files\스타맵핵] 폴더에 파일을 생성하며, 해당 폴더 속에는 다음과 같은 2개의 악성 파일을 포함하고 있습니다.
C:\Program Files\스타맵핵\OOO.exe (SHA1 : ac8dd842faaa55d17d304812a89d54d006f38ee9)
- AhnLab V3 : Dropper/Malware.65426.B (VirusTotal : 37/43)
C:\Program Files\스타맵핵\패치프로그램.exe (SHA1 : 2c560aa07108e374372a574f3aad74294cd2b57f)
- Symantec : Spyware.Keylogger (VirusTotal : 11/43)
프로그램이 설치가 완료되는 시점에서 [패치프로그램.exe] 파일이 자동 실행되며, 미국(USA)에 위치한 [98.***.146.**:80] 아이피(IP)를 통해 추가적인 파일을 다운로드 시도를 하는 것을 확인할 수 있습니다.(참고로 해당 다운로드는 테스트 상에서는 차단되거나 삭제된 것으로 추정됩니다.)
다운로드되는 파일명을 보면 전형적인 한글 Windows 환경에서 동작하도록 제작된 프로그램을 설치하고 있으며, SendEmail.dll 파일명을 통해 추정해보면 감염된 좀비PC를 이용하여 스팸 메일 발송 등 공격자의 의도대로 악의적인 동작이 가능할 것으로 추정됩니다.
참고로 현재 국내 보안 제품에서는 패치프로그램.exe 파일에 대하여는 진단하지 않는 것으로 보입니다.
외국 분석 시스템을 통해 확인해보면 실제 감염된 PC는 추가적인 다운로드를 통해 다음의 파일을 생성합니다.
- C:\WINDOWS\system32\00047e6b.sys
- C:\WINDOWS\system32\xpawhx.dll (SHA1 : D040830986641C69AAD519DA448B8D5FA07A6D9B)
- AhnLab V3 : Win-Trojan/Pcclient.59016.I
시스템 폴더에 등록된 xpawhx.dll 파일은 다양한 프로세스에 추가되며, Microsoft .NET Framework TPM로 소개된 tgekve 서비스를 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.
이를 통해 사용자는 단순히 작업 관리자를 통해 악성 프로세스를 찾아도 해당 악성 파일은 정상적인 프로세스에 dll 형태로 추가되어 전혀 눈치채지 못할 수 있습니다.
이런 악성 프로그램은 공격자가 원할 경우 DDoS 공격도 가능할 수 있으며, 개인정보 유출 등을 통해 또 다른 범죄에 악용될 수 있습니다.
하지만 앞서 말한 것처럼 일반 사용자는 스타맵핵 프로그램을 자신의 PC에 설치하여 일련의 진단을 불법적인 프로그램 설치 및 사용으로 인한 진단이므로 임의적으로 진단을 무시하는 경향이 강할 수 있습니다.
그러므로 사용자 PC가 타인의 공격 도구로 악용되거나 하는 일이 없도록 하기 위해서는 올바른 PC 사용 습관과 보안 의식이 필요하겠습니다.