본문 바로가기

벌새::Analysis

웹하드 설치 파일을 통해 유포되는 한게임 관련 악성코드 유포 주의 (2011.10.13)

반응형
국내 일부 웹하드 사이트에서 제공하는 공식 설치 파일을 통해 설치가 이루어지는 과정에서 사용자 몰래 한게임(Hangame) 관련 악성코드가 설치되는 사례가 발견되었습니다.
 

해당 악성코드는 9월경에도 동일한 웹하드 설치 파일을 통해서 짧은 시간 동안만 유포가 이루어졌던 사례와 동일한 변종으로 참고하시기 바랍니다.

 

 

테스트에서는 해당 웹하드 홈페이지에서 제공하는 설치 파일을 다운로드하여 실행하여 감염을 시켰습니다.(※ 해당 악성 파일 감염이 외부 해킹으로 인한 문제인지 그리드(Grid) 프로그램과 연관이 있는지 등의 정보를 확인되지 않습니다.)

 

 

 

 

웹하드 설치 파일은 추가적인 제휴(스폰서) 프로그램이 없는 설치가 이루어지며, 설치 과정에서 국내 특정 IP(222.122.160.19)와 연결하여 사용자 컴퓨터 이름, Mac Address, IP, 언어, 운영 체제(OS), 사용자 계정 컨트롤(UAC) 사용 여부 등을 체크하는 동작을 확인할 수 있습니다.

또한 [C:\WINDOWS\system32\config\systemprofile\INC.exe] 파일을 다운로드하여 추가적인 악성 파일을 생성합니다.

참고로 INC.exe 파일(MD5 : 0cd3971a93c9349c8191f87e5a8de07b)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.PbBot (VirusTotal : 4/43) 진단명으로 진단되고 있습니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\config\systemprofile\INC.exe
 - MD5 : 0cd3971a93c9349c8191f87e5a8de07b
 - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 4/43)

C:\WINDOWS\system32\instsrv.exe :: 정상 파일(원격 서비스 관련 파일)

C:\WINDOWS\system32\MSInstallMgr.exe :: OracleInstManager 서비스 등록 파일
 - MD5 : a97d2d1298c14603390a8c7b8fce7b06

 - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 2/43)

C:\WINDOWS\system32\MSInstallMgr.exex
 - MD5 : 8335eff608ac2e11c279644ed0e9ef07
 - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 1/43)

C:\WINDOWS\system32\NSControl.exe :: NSIncManager 서비스 등록 파일
 - MD5 : f7f8015295ec10ce978b798882ae39ba
 - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 4/43)

C:\WINDOWS\system32\ns.exe
 - MD5 : 3206033db4b84b4c29548909d1903a66
 - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 2/43)

C:\WINDOWS\system32\srvany.exe :: 서비스 등록 파일(응용 프로그램을 서비스로 등록하여 실행하는 파일) - 정상 파일

 

감염된 환경에서는 NSControl.exe(서비스 이름 : NSIncManager), MSInstallMgr.exe(서비스 이름 : OracleInstManager) 2개의 파일이 서비스 항목으로 등록되어 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NSINCMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ORACLEINSTMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NSIncManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager

NSControl.exe 파일은 위에서 언급한 절차에 따라 국내 IP로 연결이 이루어지며, 감염자 정보 체크 및 INC.exe 파일 다운로드 기능을 포함하고 있습니다.

 

 

그 후 서비스로 등록된 MSInstallMgr.exe 파일은 일본(Japan)에 위치한 27.125.206.158:30001 IP 주소로 접속을 3회 시도하는 동작을 확인할 수 있지만, 현재 해당 IP는 불법 유해 정보 사이트로 지정되어 차단되고 있는 것으로 확인이 됩니다.

 

MSInstallMgr.exe

 

MSInstallMgr.exe 파일 정보를 확인해보면 기존 유포 사례와 마찬가지로 한게임(Hangame)을 표적으로 제작한 것으로 추정되며, 일본에 위치한 특정 서버로 연결을 시도하여 추가적인 악성 동작이 있을 수 있으리라 판단됩니다.

 

 

현재 V3 보안 제품 이외에 알약(ALYac) 제품에서도 Trojan.Agent.PbBot 진단명으로 진단이 이루어지고 있으므로, 웹하드 서비스를 이용하시는 분들은 정밀 검사를 모두 하시길 권장합니다.

마지막으로 과거 웹하드는 정부를 표적으로 하는 북한 DDoS 감염을 유발하는 감염 통로였으며, 현재도 위와 같이 공식 설치 파일을 통해서 악성 파일 감염을 유발할 수 있으므로 문제가 심각한 것으로 보입니다.

728x90
반응형
  • 감사합니다. 2012.01.29 11:06 댓글주소 수정/삭제 댓글쓰기

    알약으로 검사했다가 Trojan.Agent.PbBot 이 발견되었는데 치료를 못하네요.ㅜ

    • 아마 서비스로 등록되어 해제를 제대로 못하는 것으로 보입니다.

      이런 경우에는 안전모드로 들어가서 정밀 검사를 해보시기 바랍니다.

      만약 문제 해결이 되지 않는다면 알약 업체에 원격 지원 요청을 해보시기 바랍니다.

  • 질문좀 2012.07.15 13:49 댓글주소 수정/삭제 댓글쓰기

    저희집 컴이 이거에 걸렸다고 해서 치료는 했는데 재부팅할때마다 계속 나오더라구요
    어떻게 해야되나요 ㅠㅠ 제가 컴을 잘 몰라서 그러는데 어떻게 해결할수 있는 방법좀 알려주실수 있으신가요

    • 무슨 백신을 이용하시는지 모르지만 V3로 정밀 검사를 해보시기 바랍니다.

      그리고 반복적인 재감염의 경우 사용하시는 웹하드 프로그램이나 다른 프로그램이 통로로 이용되고 있으므로 그런 프로그램도 제거하시는게 좋을 것으로 보입니다.

      말씀으로는 원인을 알 수 없으니 국번없이 118번 전화해서 보호나라 원격지원을 받아보시기 바랍니다.