음란 동영상으로 위장한 스팸 메일 발송 악성코드 주의 (2011.10.13)

인터넷 상에서 자극적인 동영상 파일로 위장하여 사용자들이 다운로드하여 실행시 감염을 유발하는 방식은 Windows 기본값이 알려진 파일 확장자명을 숨기도록 설정되어 있기에 가능하며, 특히 음란 동영상(야동)을 즐겨 보는 사용자들의 호기심을 자극하여 무조건 실행하는 경우가 있을 것으로 보입니다.

 

이러한 점을 노려 최근 해외 온라인 파일 공유 서비스 4shared에 자극적인 제목으로 등록된 음란 동영상(야동) 파일을 사용자가 다운로드 및 실행하도록 유도하여 감염을 시키는 사례를 확인하였습니다.

 

• ALZip SFX 압축을 이용한 동영상 감상 유도 악성코드 유포 주의 (2010.8.10)

• Spam 이메일 : 성인 화상 채팅 샘플 동영상 파일로 위장한 악성코드 - LiveCamPlayer.exe (2010.8.22)

• Torrent를 이용한 일본 AV 스타 랭킹 관련 악성코드 유포 (2010.8.23)

• 샘플 동영상 보기를 이용한 악성코드 유포 주의 (2010.10.29)

해당 유포 샘플은 과거부터 다양한 성인 동영상과 관련된 이슈를 통해 유포가 이루어지고 있는 것으로 알려져 있으므로 참고하시기 바랍니다.

 

확인된 파일들은 모두 동일한 아이콘 모양을 하고 있으며 (파일명).avi.exe, (파일명).wmv.exe, (파일명).mov.exe 파일과 같은 형태로 동영상 파일처럼 위장을 하고 있습니다.

 

• MD5 : a3a54e49f480718770f15f720028478f
• MD5 : c178d3549262ebff6e408ad5f563192f
• MD5 : 8c1b45bb5fd2fa8fcb5149067f8eb194
• MD5 : 8314728d32024c30914166176ef681fc
• MD5 : bac5800f932d0f86a1412270e99b5725

이들 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.MSender (VirusTotal : 2/43) 진단명으로 진단되고 있으며, 테스트에서는 bac5800f932d0f86a1412270e99b5725 해시(Hash)값을 가지는 파일을 이용하였습니다.

 

파일을 실행하면 웹하드 검색 엔진이라는 창을 통해 특정 토렌트(Torrent) 사이트로 연결되는 동작과 함께 자동으로 "노모"라는 검색어가 등록되어 있는 것을 확인할 수 있습니다.

이런 동작과 함께 사용자 몰래 백그라운드 방식으로 일본(Japan)에 위치한 27.125.205.17 IP 서버로부터 2개의 파일을 다운로드하여 자가 복제 방식으로 감염을 시키는 동작을 확인할 수 있습니다.

 

• h**p://**.jito.kr/**//dwnlist.txt :: dinputl8.doc, MSVBA.txt

[생성 파일 및 진단 정보]

C:\Program Files\Common Files\Microsoft Shared\VBA\MSVBA.exe
 - MD5 : 5ce92fd37286ad0719f035f0d7fe6b8f
 - AhnLab V3 : Trojan/Win32.MSender (VirusTotal : 2/43)

C:\WINDOWS\system32\dinputl8.dll
 - MD5 : 7846cd5dabd200efd5edb24d94578347
 - AhnLab V3 : Trojan/Win32.MSender (VirusTotal : 13/43)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sysvb = C:\Program Files\Common Files\Microsoft Shared\VBA\MSVBA.exe

MSVBA.exe 파일은 Windows 시작시 자동으로 실행되도록 "sysvb"라는 이름의 시작 프로그램으로 등록되며, 시스템 폴더에 생성된 dinputl8.dll 파일은 원래 존재하는 [C:\WINDOWS\system32\dinput8.dll (Microsoft DirectInput)] 정상 시스템 파일과 이름을 유사하게 구성하여 사용자가 의심하지 못하도록 한 것으로 보입니다.

 

감염된 PC가 시스템 재부팅을 할 경우 시작 프로그램으로 등록된 MSVBA.exe 파일은 동일한 IP로부터 MSQRI32.txt 파일을 다운로드하여 추가적인 악성 파일을 생성하는 동작을 합니다.

참고로 MSQRI32.txt(MD5 : ee79b1edf20cde0dca35cfa39e9ca922) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.MSender (VirusTotal : 4/43) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

C:\Program Files\Common Files\Microsoft Shared\VBA\durlc.dat
C:\Program Files\Common Files\Microsoft Shared\VBA\mainc.dat
C:\Program Files\Common Files\Microsoft Shared\VBA\MSQRI32.exe
 - MD5 : ee79b1edf20cde0dca35cfa39e9ca922
 - AhnLab V3 : Trojan/Win32.MSender (VirusTotal : 4/43)
C:\Program Files\Common Files\Microsoft Shared\VBA\ver.txt

자가 복제 방식으로 생성된 MSQRI32.exe 파일은 시스템 시작시마다 메모리에 상주하며, 파일 정보를 확인해보면 마이크로소프트(Microsoft)사에서 제작한 것처럼 위장하고 있는 것을 확인할 수 있습니다.

 

MSQRI32.exe 파일은 동일 IP 주소로 감염된 PC의 사용자 컴퓨터 이름, 운영 체제(OS), CPU 종류, 메모리, 하드 디스크 용량, 사용자 IP 주소 정보를 수집하여 외부로 전송하는 것을 확인할 수 있습니다.

감염된 PC는 시스템 시작 후 25분 이상 경과한 후부터 25번 포트(Port)를 이용한 SMTP 프로토콜을 통해 대량의 스팸 메일을 발송하는 동작을 확인할 수 있습니다.

 

프로세스를 통해 확인을 해보면 최초 시스템 시작 후 25분이 지날 때까지는 MSQRI32.exe 프로세스는 조용히 대기를 하고 있지만, 25분 이상 경과된 후부터는 25번 포트를 통해 네이버(Naver) 메일 서버로 대량의 이메일을 전송하기 시작합니다.

 

전송되는 패킷을 확인해보면 발송자 이메일을 랜덤한 야후(Yahoo) 이메일 계정으로 등록되어 있으며, 수신자는 랜덤한 네이버(Naver) 이메일 계정으로 되어 있습니다.

해당 스팸 메일은 시스템 시작 후 25분 이상 경과된 후부터 15분간 약 2,500통 수준의 스팸 메일을 발송한 후 발송을 중지하는 방식으로 동작합니다.

 

발송되는 스팸 메일 한 통을 확인해보면 도박 광고 URL 주소가 포함되어 있는 것으로 보아 도박 광고를 진행하는 것으로 추정됩니다.

 

실제 해당 URL 링크를 통해 연결되는 사이트는 해외 블로그 게시글로 연결되며 각종 도박 배너 광고를 통해 또 다른 사이트로 연결되는 동작을 확인할 수 있습니다.

이처럼 음란 동영상을 보기 위해 실행하였다가 자신도 모르게 감염되어 주기적으로 스팸 메일을 발송할 경우 기업의 경우 과도한 트래픽 발생 등 네트워크 장애가 발생할 것으로 보이며, 개인 역시 좀비PC가 된 자신의 PC가 발송한 스팸 메일을 자신의 네이버 메일 계정을 통해 받는 꼴이 됩니다.

그러므로 이런 방식의 동영상 위장 파일을 절대로 실행하지 않도록 주의하시기 바라며, 인터넷 속도 저하 또는 CPU가 이유없이 치솟는 동작이 발생한 경우에는 1차적으로 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.