해당 파일의 유포 방식은 확인되지 않고 있지만, 극소수 사용자가 현재 감염된 것으로 추정되며 공통적으로 바람의 나라 온라인 게임을 즐기는 것으로 확인되고 있습니다.
해당 파일의 설치 파일(MD5 : f69cf4e6e4e8f1bc543217fac33d230a)의 유포 파일 이름은 [치르치르 마한 주술사 자동사냥 매크로-이미지인식,좌표인식,오토.exe] 파일이며, 안철수연구소(AhnLab) V3 보안 제품에서는 Backdoor/Win32.AutoBot (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.
파일 이름으로 유추해보면 인터넷 상에서 바람의 나라를 즐겨하는 사용자에게 1대 1 접촉(이메일 등)을 통해 게임핵 파일로 위장한 파일을 발송하여 사용자가 실행하도록 유도할 것으로 추정되고 있습니다.
해당 악성 파일을 실행할 경우 국내 웹 호스팅 닷홈(dothome.co.kr) 계정에 등록된 서버로 연결이 이루어지는 것을 확인할 수 있습니다.
참고로 외부에서 해당 계정 사이트(bhb96.dothome.co.kr)에 접속을 시도할 경우에는 일일 트래픽 초과로 차단되어 있다는 메시지만 나오고 있으며, 실제로는 파일 계정으로만 활용되는 것으로 추정됩니다.
- h**p://bhb96.dothome.co.kr/bbs/****/******/ftpcheck.ini
- h**p://bhb96.dothome.co.kr/bbs/****/******/kl.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/sn.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/Run.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/check.ini
- h**p://bhb96.dothome.co.kr/bbs/****/******/temp.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/uupdate.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/update.exe
감염된 사용자는 해당 계정에서 추가적인 다수의 파일을 다운로드하는 동작을 확인할 수 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\WINDOWS\IME2002
C:\WINDOWS\IME2002\Administrator.txt :: Keylogger 저장 파일
※ 해당 파일명은 Windows 사용자 계정명에 이름이 정해집니다.
C:\WINDOWS\IME2002\check.ini
C:\WINDOWS\IME2002\cncheck.ini
C:\WINDOWS\IME2002\kl.exe :: 메모리 상주 프로세스 - 정보 수집 기능
C:\WINDOWS\IME2002\number.txt
C:\WINDOWS\IME2002\run.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\IME2002\sn.exe :: 깨진 파일 추정
C:\WINDOWS\IME2002\temp.exe :: FTP 서버 연결 기능
C:\WINDOWS\IME2002\tempupdate.txt
C:\WINDOWS\IME2002\update.exe :: 파일 업데이트 파일 - 다운로드 기능
C:\WINDOWS\IME2002\uupdate.exe :: update.exe 로딩 파일
[생성 파일 진단 정보]
C:\WINDOWS\IME2002\kl.exe
- MD5 : b603df27b743a9802d2afcafb15f4c40
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)
C:\WINDOWS\IME2002\run.exe
- MD5 : 7bd81dabeee3650b0a39626500afe578
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 8/43)
C:\WINDOWS\IME2002\temp.exe
- MD5 : 4a40372c285e148d9e198e18a79c3318
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)
C:\WINDOWS\IME2002\update.exe
- MD5 : 2745392f7c0791b19e21270232971619
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 3/43)
C:\WINDOWS\IME2002\uupdate.exe
- MD5 : 12756b29653978bfab53deaeb578e1c9
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)
감염된 환경에서는 [C:\WINDOWS\IME2002] 폴더에 파일을 생성하여 사용자가 Windows에서 기본적으로 제공하는 입력기(Input Method Editor) 폴더로 의심하지 않도록 하고 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- IME2002 = C:\Windows\IME2002\run.exe
Windows 시작시 [C:\WINDOWS\IME2002\run.exe] 파일을 시작 프로그램으로 등록하여 자동 실행되어 생성된 파일들을 실행하여 FTP 오픈, 업데이트 체크 등의 동작을 하도록 구성되어 있습니다.
테스트 환경에서는 Windows 시작시 32비트 환경에서 16비트 실행 환경을 제공하는 [C:\WINDOWS\system32\ntvdm.exe] 파일이 [C:\WINDOWS\IME2002\sn.exe] 파일을 불러오는 과정에서 "16비트 MS-DOS 하위 시스템" 관련 오류창이 반복적으로 생성되는 등 문제가 발생할 수 있을 것으로 추정되며, 이를 통해 감염자는 감염 사실을 간접적으로 확인할 수 있을 것으로 보입니다.
또한 감염자 중에서는 중국어판 Windows 운영 체제를 사용하는 사용자가 있는 것으로 보입니다.
해당 백도어는 온라인 게임을 즐겨하는 사용자를 표적으로 접근하여 게임핵으로 위장하여 이용하게 하는 과정에서 사용자 몰래 PC에서 이루어지는 정보를 몰래 수집하는 것으로 보입니다.
그러므로 단순히 게임핵이므로 보안 제품에서 진단된다는 잘못된 인식의 변화가 필요할 것으로 보이며, 이번 사례처럼 은밀하게 극소수 감염자를 대상으로 이루어지는 사이버 범죄 행위의 경우에는 보안 제품에서 진단을 위해 노출되지 않는 경우가 있을 수 있으므로 사용자가 우선적으로 주의하셔야 할 것입니다.
비밀댓글입니다
안녕하세요.
알려주신 내용은 잘 보았습니다.
하지만 특정 프리섭에 대해서는 제가 제대로 상황 파악할 방법이 없어서 블로그를 통해서 언급할 부분은 아닌 것 같습니다.^^
좋은 휴일 되세요.
비밀댓글입니다
역시 은밀하게 유포가 이루어지고 있나 보군요.ㅠㅠ
비밀댓글입니다
그랬군요. 위와 비슷하게 은밀하게 악용하는 사람들이 있나 봅니다.
어떻게없애는거징..
좋은 정보 감사합니다.
키르노가 오토핫키로 만든 바람의나라 매크로네요.
역시 입력 정보들을 수집하고 있었군요.
실시간으로 수집한 정보를 서버로 보내진 않고 있다고 하셨는데..
업데이트 파일도 심어져 있는 걸로 봐서
최초 파일만 받았으면 그 뒤로는 전송기능 심은 파일을
서버에 올려서 자동으로 받게끔 해서
해킹할 개연성도 충분하군요.
현재 키르노가 만든 저 치르치르 매크로는 넥슨측에서
해킹툴로 막아두고 있는데 또 다른 매크로는
현재 막히지 않은 걸로 압니다.
이용자가 아마 더 많을 것으로 추정되는데
이메일로 보내드리면 한번 봐주실 수 있으신가요?
아마 막혔으면 또 다른걸 만들어서 배포하겠죠.
http://hummingbird.tistory.com/notice/911
해당 링크에 이메일 주소가 있으므로 보내실 파일이 있으면 압축(비밀번호 추가)해서 보내시면 됩니다.