울지않는벌새 : Security, Movie & Society

국내 악성코드 : Win-Dropper/KorAd.70976 (AhnLab V3)

벌새::Analysis
국내에서 "바로서치"라는 제휴(스폰서) 프로그램 방식으로 유포되어 사용자 몰래 추가적인 악성 파일을 설치하는 사례를 살펴보도록 하겠습니다.

해당 "바로서치"는 몇 개월 전부터 다양한 변종 파일이 주기적으로 교체되면서 유포가 이루어지고 있는 것으로 알고 있습니다.

이번에 살펴볼 최초 유포 설치 파일(MD5 : 552e9773ccadd3189dc01b29b3d5828b)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Dropper/KorAd.70976 (VirusTotal : 22/44) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\svc_agent.exe
 - MD5 : 32095d753eabc2ba315cfc3affd36ad3
 - AhnLab V3 : Win-Adware/KorAd.24576.B (VirusTotal : 16/44)

 

최초 "바로서치"로 알려진 프로그램을 설치하면 시스템 폴더에 svc_agent.exe 파일을 생성합니다.

해당 파일은 agent manager(ALIM agent manager)라는 서비스 항목으로 등록이 되며, 추가적으로 다음과 같은 외부 접속을 통해 악성 파일을 다운로드하는 것을 확인할 수 있습니다.

해당 다운로드 파일 setup.exe(MD5 : 64357433b1125c7303af6f614b502b45) 파일은 BitDefender 보안 제품에서 Dropped:Generic.Malware.Bdld.7269D0E6 (VirusTotal : 9/44) 진단명으로 진단됩니다.

 

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\npcva.exe
 - MD5 : 32c599bccba9c746d9f7f28850cdce23
 - Symantec : Downloader (VirusTotal : 4/44)

다운로드된 악성 파일은 최종적으로 npcva.exe 파일을 생성하며, "win manager"라는 이름의 서비스 항목을 등록하여 동작하는 것을 확인할 수 있습니다.

npcva.exe 파일은 시스템 시작시마다 특정 서버에 접속하여 설치된 PC 체크와 국내 악성코드 제거 프로그램과 연관된 서버에 접속을 시도하는 것을 확인할 수 있습니다.


이렇게 설치된 악성 파일은 시스템 시작시 자동으로 실행되어 파일 업데이트 체크, 설치된 PC 체크 등을 통해 차후 배포자가 원하는 시점에서 사용자 몰래 다양한 악의적인 동작이 가능할 수 있습니다.

특히 해당 등록 서비스(ALIM agent manager, win manager)들은 시스템 시작시 동작 후 스스로 종료하여 사용자가 쉽게 확인하지 못할 수 있으므로 주의가 요구됩니다.