본문 바로가기

벌새::Analysis

OracleInstallManager.exe 파일을 이용한 원격 뷰어 유포 주의 (2011.9.13)

728x90
반응형
최근 과거 국내 가짜 백신 프로그램을 서비스하는 특정 서버에 악성 파일을 등록하여 사용자 PC를 감염시키는 방식으로 원격 뷰어 프로그램을 설치하는 사례가 확인되고 있으므로 주의가 요구되고 있습니다.
 

참고로 이번에 유포된 악성코드는 과거 한게임 뷰어 등으로 알려진 변종으로 추정되므로 참고하시기 바랍니다.

 

 

유포되는 설치 파일(MD5 : ee860c9383c5ba461d42602bc4d71ec5)은 다양한 경로나 방식으로 설치를 유도할 것으로 보이며, 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Pdbot.368640 (VirusTotal : 4/43) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

C:\Temp\w00w00w_root.exe :: 자가 복제 파일
 - MD5 : ee860c9383c5ba461d42602bc4d71ec5

 - AhnLab V3 : Win-Trojan/Pdbot.368640 (VirusTotal : 4/43)

C:\WINDOWS\system32\wbem\instsrv.exe :: 정상 파일(원격 서비스 관련 파일)
 - MD5 : 7bc1928cd1d6ea2bce5fdb1fdeac0b3d


C:\WINDOWS\system32\wbem\OracleInstallManager.exe
 - MD5 : 5ca108e12ff3e4b732b1cd61ae8241dd
 - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 1/44)

C:\WINDOWS\system32\wbem\srvany.exe :: 서비스 등록 파일(응용 프로그램을 서비스로 등록하여 실행하는 파일) - 정상 파일
 - MD5 : c9b18abe9063a33e77f6be81cc8df0c5

 

해당 악성 파일이 실행되면 [C:\Temp\w00w00w_root.exe] 파일로 자가 복제를 한 후, [C:\WINDOWS\system32\wbem] 폴더 내부에 파일을 생성합니다.

 

 

생성된 파일을 살펴보면 instsrv.exe 파일은 원격 제어를 위해 필요한 정상 파일이며, srvany.exe 파일은 실제 악성 기능을 포함하고 있는 OracleInstallManager.exe 파일을 서비스로 등록하여 실행하도록 하기 위한 정상 파일입니다.

 

 

감염이 이루어진 경우 srvany.exe 파일이 OracleInstManager라는 이름의 서비스 항목을 등록합니다.

 

 

이를 통하여 srvany.exe 프로세스 하위에 OracleInstallManager.exe 파일이 실행되어 시스템 시작시마다 서비스로 동작하는 것을 확인할 수 있습니다.

 

 

참고로 감염된 시스템이 부팅 완료 후 바탕 화면에 위와 같은 cmd 모드창이 생성되어 있는 경우 감염된 PC임을 간접적으로 확인할 수 있으리라 판단됩니다.

 

OracleInstallManager.exe

 

OracleInstallManager.exe 파일을 살펴보면 일본(Japan)에 위치한 27.125.206.76 서버로 연결을 시도하며, 해당 악성코드 개발자가 한게임을 표적으로 개발하고 있는 흔적을 확인할 수 있습니다.

해당 감염자는 수동으로 문제를 해결하기를 원하는 경우에는 다음과 같은 절차에 따르시기 바랍니다.(※ 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

1. OracleInstManager 서비스를 중지하시기 바랍니다.

 

 

실행창에 [sc stop "OracleInstManager"] 명령어를 입력하여 실행 중인 서비스를 중지합니다.

2. 다음의 생성 파일 및 레지스트리를 수동으로 삭제하시기 바랍니다.

 

  • C:\Temp\w00w00w_root.exe
  • C:\WINDOWS\system32\wbem\instsrv.exe
  • C:\WINDOWS\system32\wbem\OracleInstallManager.exe
  • C:\WINDOWS\system32\wbem\srvany.exe
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ORACLEINSTMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager

 

모든 조치가 완료된 후에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 반드시 하시기 바랍니다.

이들 악성코드는 사용자가 신뢰할 수 없는 소프트웨어, 이메일 첨부 파일 등을 다운로드하여 실행하는 과정에서 감염되거나, PC방의 관리 프로그램 등의 취약점을 이용하여 유포가 이루어지고 있는 것으로 추정됩니다.

또한 악성코드에 감염된 PC를 외부에서 원격으로 상대방의 화면을 볼 수 있다는 점에서 문제가 되고 있으며, 보안 제품을 우회할 목적으로 변종을 꾸준하게 제작하는 것으로 보이므로 주의하시기 바랍니다.

728x90
반응형