해당 압축 파일을 해제하여 사용을 목적으로 실시간 감시를 OFF한 상태로 실행할 경우 그림과 같은 창이 생성되며 사용할 수 있습니다.
[청룡엔진 6.0 버전 실행시 생성 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys C:\Windupdt C:\Windupdt\winupdate.exe (MD5 : ec71a93dfcd4ac81476927abbb15a8a6)
하지만 청룡엔진을 실행시 사용자 몰래 숨김(H) 속성의 [C:\Windupdt] 폴더를 생성하며, 해당 폴더 내부에 Windows 시작시 자동 실행되는 숨김 속성의 winupdate.exe 파일을 추가하는 동작이 있습니다.
[생성 / 변경 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- winupdater = C:\Windupdt\winupdate.exe
HKEY_CURRENT_USER\Software\sang sinsang
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
- Userinit = C:\WINDOWS\system32\userinit.exe,C:\Windupdt\winupdate.exe :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DisableNotifications = 1 :: 추가
- EnableFirewall = 1 :: 추가
또한, 레지스트리 변경을 통해 윈도우 보안 센터 및 Windows 방화벽 변경, 윈도우 사용자 계정 컨트롤(UAC : Windows User Account Controls) 변경 등을 통해 백도어 동작이 가능하도록 환경을 변경합니다.
감염된 PC는 Windows 시작 시점부터 svchost.exe 프로세스에 등록된 DNS Cache 서비스를 통해 UDP 프로토콜을 통해 지속적으로 외부와 통신을 할 수 있도록 접속을 유지합니다.
실제 연결을 시도하는 곳은 국내에서 서비스하는 유동 IP를 고정 도메인으로 연결시켜주는 서비스로 [cdhs3986.codns.com] 도메인으로 연결을 하고 있습니다.
추가적으로 감염된 PC에서 사용자가 입력한 키보드 값을 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys] 파일에 저장하여 차후 외부에서 피해자 PC에 접속하여 해당 파일을 통해 민감한 정보를 획득할 수 있을 것으로 추정됩니다.
테스트에서는 사용자가 네이버(Naver) 사이트에 접속하여 로그인을 시도할 경우 사용자 ID, 비밀번호가 그대로 기록되어 있는 것을 확인할 수 있었습니다.
위와 같이 불법적인 핵 프로그램은 보안 제품에서 진단할 수 있다는 논리로 사용시 보안 제품의 실시간 감시를 끄고 사용하도록 유도하며, 순순히 안내를 따를 경우 자신의 소중한 정보가 외부로 유출될 수 있으므로 이런 류의 프로그램은 사용하지 마시기 바랍니다.