본문 바로가기

벌새::Analysis

메가VPN(MegaVPN) 서비스를 악용한 악성 프로그램 유포 주의 (2010.1.3)

국내에서 정상적으로 서비스되는 고정 IP 솔루션 프로그램 메가VPN(MegaVPN) 서비스에 악성 프로그램을 추가하여 유포하는 사례가 확인되어 소개해 드리겠습니다.

참고로, 악의적 목적으로 이용되는 메가VPN(MegaVPN) 서비스는 정상적인 서비스임을 분명히 밝힙니다.


해당 유포 도메인에서는 국내 메가VPN 홈페이지에서 제공하는 콘텐츠 일부를 그대로 도용하여 마치 정상적인 서비스로 사용자를 속이고 있습니다.


사이트에서는 해당 프로그램을 이용할 경우 PC방 IP를 개인집에서 이용할 수 있다는 홍보 문구를 통해 광고를 하고 있으며, 첨부 파일을 다운로드할 수 있도록 제공하고 있습니다.

해당 첨부 파일(SHA1 : 2d5fa18ec13a3f55a5420be8d275ff813e2ad5ad)은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Joiner.203776 (VirusTotal : 38/43) 진단명으로 진단하고 있으며, 국내외 대다수 보안 제품에서 진단되는 악성 프로그램입니다.

하지만 해당 프로그램을 설치하려는 사용자들은 보안 제품의 진단에 대해 실시간 감시를 OFF하거나 진단 제외 처리를 하는 경우가 있으리라 생각됩니다.


참고로 정상적인 MegaVPN 설치 파일과 악성 프로그램이 추가된 악성 파일을 비교해 보면 외관상 거의 유사하게 제작된 것을 확인할 수 있습니다.


사용자가 해당 설치 파일을 실행할 경우, 외관상으로는 정상적인 MegaVPN 1.2 버전을 설치하는 모습을 제시하지만 이 과정에서 다음과 같은 추가적인 악성 파일을 사용자 몰래 PC에 설치하고 있습니다.

[악성 파일 생성 및 진단 정보]

C:\Program Files\Common Files\Microsoft Shared\MSInfo\lelelele.exe
C:\WINDOWS\system32\bits.dll :: 숨김(H) 속성
C:\WINDOWS\system32\install.dat

C:\Program Files\Common Files\Microsoft Shared\MSInfo\lelelele.exe (SHA1 : 23d88e3e8ec0610570b085408c1bb5eaf49ce332)
 - nProtect : Trojan-PWS/W32.WebGame.127872 (VirusTotal : 40/42)

C\WINDOWS\system32\bits.dll (SHA1 : 242236a9b6beba9c0d425fd262e8f6a51cbc37fb)
 - AhnLab V3 : Win-Trojan/PcClient.107008.B (VirusTotal : 40/42)

즉, 설치 과정에서 lelelele.exe 파일을 생성하여 시스템 폴더에 숨김(H) 속성의 bits.dll 파일을 생성합니다.

[생성(변경) 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\{69AD4AEE-51BE-439b-A92C-86AE490E8B30}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters
 - ServiceDll = C:\WINDOWS\system32\qmgr.dll :: 변경 전
 - ServiceDll = C:\WINDOWS\system32\bits.dll :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS\Parameters
 - ServiceDll = C:\WINDOWS\system32\qmgr.dll :: 변경 전
 - ServiceDll = C:\WINDOWS\system32\bits.dll :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters
 - ServiceDll = C:\WINDOWS\system32\qmgr.dll :: 변경 전
 - ServiceDll = C:\WINDOWS\system32\bits.dll :: 변경 후


특히 [C\WINDOWS\system32\bits.dll] 파일은 정상적인 BITS(Background Intelligent Transfer Service) 서비스 항목 변경을 통한 시스템 시작시 자동 실행되도록 등록을 합니다.


이를 통하여 시스템 시작시 자동 실행되는 svchost.exe 서비스 프로세스는 중국 특정 IP로 접속을 시도하며 외부로 특정 패킷을 전송하는 것을 확인할 수 있습니다.


이런 경우 보안 제품을 이용하여 정밀 검사를 통한 치료를 하거나 수동으로 문제를 해결하는 방법으로는 BITS 서비스를 중지하고 시스템 폴더에 숨어 있는 bits.dll 파일을 삭제하고 다시 BITS 서비스를 실행하도록 설정하시면 됩니다.

또한 변경된 BITS 서비스 항목의 레지스트리 설정값을 변경 이전값으로 수정을 하시기 바랍니다.

이번 사례와 같이 이미 모든 보안 제품에서 진단할지라도 사용자의 의도에 따라 진단을 무시하고 설치할 경우 알 수 없는 외부와 연결되어 사용자 몰래 정보 유출 등에 악용될 수 있으므로 주의하시기 바랍니다.

또한 해당 메가VPN 서비스를 이용하실 분들은 반드시 공식 사이트를 방문하여 설치 파일을 다운로드 및 서비스 신청을 하시기 바랍니다.