해당 파일의 유포 방식은 확인되지 않고 있지만, 극소수 사용자가 현재 감염된 것으로 추정되며 공통적으로 바람의 나라 온라인 게임을 즐기는 것으로 확인되고 있습니다.
해당 파일의 설치 파일(MD5 : f69cf4e6e4e8f1bc543217fac33d230a)의 유포 파일 이름은 [치르치르 마한 주술사 자동사냥 매크로-이미지인식,좌표인식,오토.exe] 파일이며, 안철수연구소(AhnLab) V3 보안 제품에서는 Backdoor/Win32.AutoBot (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.
파일 이름으로 유추해보면 인터넷 상에서 바람의 나라를 즐겨하는 사용자에게 1대 1 접촉(이메일 등)을 통해 게임핵 파일로 위장한 파일을 발송하여 사용자가 실행하도록 유도할 것으로 추정되고 있습니다.
해당 악성 파일을 실행할 경우 국내 웹 호스팅 닷홈(dothome.co.kr) 계정에 등록된 서버로 연결이 이루어지는 것을 확인할 수 있습니다.
참고로 외부에서 해당 계정 사이트(bhb96.dothome.co.kr)에 접속을 시도할 경우에는 일일 트래픽 초과로 차단되어 있다는 메시지만 나오고 있으며, 실제로는 파일 계정으로만 활용되는 것으로 추정됩니다.
- h**p://bhb96.dothome.co.kr/bbs/****/******/ftpcheck.ini
- h**p://bhb96.dothome.co.kr/bbs/****/******/kl.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/sn.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/Run.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/check.ini
- h**p://bhb96.dothome.co.kr/bbs/****/******/temp.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/uupdate.exe
- h**p://bhb96.dothome.co.kr/bbs/****/******/update.exe
감염된 사용자는 해당 계정에서 추가적인 다수의 파일을 다운로드하는 동작을 확인할 수 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\WINDOWS\IME2002
C:\WINDOWS\IME2002\Administrator.txt :: Keylogger 저장 파일
※ 해당 파일명은 Windows 사용자 계정명에 이름이 정해집니다.
C:\WINDOWS\IME2002\check.ini
C:\WINDOWS\IME2002\cncheck.ini
C:\WINDOWS\IME2002\kl.exe :: 메모리 상주 프로세스 - 정보 수집 기능
C:\WINDOWS\IME2002\number.txt
C:\WINDOWS\IME2002\run.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\IME2002\sn.exe :: 깨진 파일 추정
C:\WINDOWS\IME2002\temp.exe :: FTP 서버 연결 기능
C:\WINDOWS\IME2002\tempupdate.txt
C:\WINDOWS\IME2002\update.exe :: 파일 업데이트 파일 - 다운로드 기능
C:\WINDOWS\IME2002\uupdate.exe :: update.exe 로딩 파일
[생성 파일 진단 정보]
C:\WINDOWS\IME2002\kl.exe
- MD5 : b603df27b743a9802d2afcafb15f4c40
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)
C:\WINDOWS\IME2002\run.exe
- MD5 : 7bd81dabeee3650b0a39626500afe578
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 8/43)
C:\WINDOWS\IME2002\temp.exe
- MD5 : 4a40372c285e148d9e198e18a79c3318
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)
C:\WINDOWS\IME2002\update.exe
- MD5 : 2745392f7c0791b19e21270232971619
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 3/43)
C:\WINDOWS\IME2002\uupdate.exe
- MD5 : 12756b29653978bfab53deaeb578e1c9
- AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)
감염된 환경에서는 [C:\WINDOWS\IME2002] 폴더에 파일을 생성하여 사용자가 Windows에서 기본적으로 제공하는 입력기(Input Method Editor) 폴더로 의심하지 않도록 하고 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- IME2002 = C:\Windows\IME2002\run.exe
Windows 시작시 [C:\WINDOWS\IME2002\run.exe] 파일을 시작 프로그램으로 등록하여 자동 실행되어 생성된 파일들을 실행하여 FTP 오픈, 업데이트 체크 등의 동작을 하도록 구성되어 있습니다.
테스트 환경에서는 Windows 시작시 32비트 환경에서 16비트 실행 환경을 제공하는 [C:\WINDOWS\system32\ntvdm.exe] 파일이 [C:\WINDOWS\IME2002\sn.exe] 파일을 불러오는 과정에서 "16비트 MS-DOS 하위 시스템" 관련 오류창이 반복적으로 생성되는 등 문제가 발생할 수 있을 것으로 추정되며, 이를 통해 감염자는 감염 사실을 간접적으로 확인할 수 있을 것으로 보입니다.
또한 감염자 중에서는 중국어판 Windows 운영 체제를 사용하는 사용자가 있는 것으로 보입니다.
해당 백도어는 온라인 게임을 즐겨하는 사용자를 표적으로 접근하여 게임핵으로 위장하여 이용하게 하는 과정에서 사용자 몰래 PC에서 이루어지는 정보를 몰래 수집하는 것으로 보입니다.
그러므로 단순히 게임핵이므로 보안 제품에서 진단된다는 잘못된 인식의 변화가 필요할 것으로 보이며, 이번 사례처럼 은밀하게 극소수 감염자를 대상으로 이루어지는 사이버 범죄 행위의 경우에는 보안 제품에서 진단을 위해 노출되지 않는 경우가 있을 수 있으므로 사용자가 우선적으로 주의하셔야 할 것입니다.
