울지않는벌새 : Security, Movie & Society

동영상 플레이어 설치를 통한 좀비PC 감염 주의 (2011.10.19)

벌새::Analysis
최근 불법 성인 사이트에서 배포하는 동영상 플레이어 설치 파일에 좀비PC 확보를 목적으로 악성 파일을 추가하여 배포하는 행위가 확인이 되었습니다.

이런 좀비PC는 과거 7.7 DDoS와 3.4 DDoS와 같은 국가 차원의 대규모 공격에 악용될 소지가 있으므로 주의가 요구됩니다.

  1. MD5 : 8ed2a3d3e957ee336b75c97d944d55f6 - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 9/43)
  2. MD5 : fc0580e0d2b4ce976cddfe9837c74bc3 - AhnLab V3 : Dropper/Win32.Mudrop (VirusTotal : 9/43)

현재 확인된 동영상 플레이어 설치 파일은 2종으로 해당 설치 파일 내부에는 server.exe 악성 파일과 동영상 플레이어 설치 파일이 함께 포함되어 있습니다.

참고로 server.exe 파일(MD5 : 58b2c075adfa2cff5539d0b6b473d438)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Proxy (VirusTotal : 6/41) 진단명으로 진단하고 있습니다.

  • h**p://hmy**.gicp.net/CCProxy.ini
  • h**p://hmy**.gicp.net/CCProxy.dll
  • h**p://hmy**.gicp.net/CCProxy.exe

설치 파일을 실행하면 HY Player라는 프로그램이 백그라운드 방식으로 설치가 이루어지며 설치 완료 시점에서 그림과 같은 안내창이 생성됨과 동시에 추가적으로 CCProxy.exe 파일을 다운로드하여 시스템 감염을 유발하고 있습니다.

참고로 CCProxy.exe 파일(MD5 : ba7e9798d7700d69eb41fc5a43784599)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Bjlog (VirusTotal : 16/43) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\%Program Files%
C:\Program Files\%Program Files%\~
C:\Program Files\%Program Files%\1018.URL
C:\Program Files\%Program Files%\1020.URL
C:\Program Files\%Program Files%\Cest.bat
C:\Program Files\%Program Files%\Dest.BAt
C:\Program Files\%Program Files%\laass.exe :: 정상 파일(rundll.exe - 중국어판)
C:\Program Files\YHMedia
C:\Program Files\YHMedia\player
C:\WINDOWS\system32\CCProxy.ini
C:\WINDOWS\system32\info.dat :: 암호화

※ HY Player 관련 파일 정보는 생략합니다.

[생성 파일 진단 정보]

C:\Program Files\%Program Files%\1018.URL
C:\Program Files\%Program Files%\1020.URL
 - MD5 : b928009ed3fb06d4cec45e623c1a06d0
 - AhnLab V3 : Trojan/Win32.PcClient (VirusTotal : 11/43)

악성 파일은 [C:\Program Files\%Program Files%] 폴더 내부에 파일을 생성하며, 사용자 눈에는 단순히 1018, 1020 파일이 인터넷 바로가기(URL) 파일로 의심하지 않을 가능성이 있습니다.

하지만 해당 인터넷 바로가기 파일은 유효하지 않은 Avira GmbH 디지털 인증서가 추가된 파일임을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinAudio

감염된 시스템은 시스템 시작시 서비스로 등록된 WinAudio 항목을 통해 자동으로 실행되도록 등록되어 있으며, 실행 파일 경로는 [cmd.exe /c C:\PROGRA~1\%PROGR~1\Cest.bat] 값을 통해 cmd 모드에서 Cest.bat 파일을 실행하도록 되어 있습니다.

@echo off
@start /d C:\PROGRA~1\%%PROGR~1\ laass.exe 1020.url main

Cest.bat 배치 파일 내부에서는 laass.exe 파일을 실행하여 1020.url 파일을 불러오도록 설정되어 있습니다.

이를 통해 laass.exe 프로세스는 메모리에 상주하여 동작하며 사용자는 [C:\WINDOWS\system32\lsass.exe] 프로세스와 같은 정상적인 프로세스로 오해를 유발할 수 있습니다.

최초 연결되는 곳은 중국(China)에 등록된 58.221.33.251 IP 주소이면 공통적으로 6942번 포트를 이용하는 것으로 확인됩니다.

실제 테스트에서는 해당 유포자가 시스템에 침입하여 분석을 방해하는 동작을 확인하였으며, 지속적으로 감염된 PC의 내부에서 정보 수집 등이 이루어질 수 있으리라 판단됩니다.

일정 시간 경과 후 확인을 해보면 원격 접속 이외에 국내 61.78.35.195(kokoko1234.vicp.net) 호스팅을 통해 주기적으로 DNS 쿼리를 날려 통신을 유지하는 동작을 확인할 수 있으며, 6942번 포트를 동일하게 유지하고 있습니다.

해당 악성코드에 감염된 경우 보안 제품을 통해 문제를 해결할 수 없는 경우에는 다음과 같은 방식으로 수동으로 문제 해결을 하시기 바랍니다.

그 후 통신을 유지하는 svchost.exe 프로세스에 추가된 1018.URL 파일은 AppMgmt(Application Management) 서비스에 삽입되어 동작하며, 사용자가 임의로 해당 서비스를 종료할 수 없습니다.

그러므로 [C:\Program Files\%Program Files%] 폴더 이름을 임의로 변경한 후 시스템 재부팅을 하시기 바랍니다.(예시 : %Program Files%AhnLab)

재부팅 후 메모리에 상주하는 laass.exe 프로세스를 Windows 작업 관리자에서 수동으로 종료한 후, [C:\Program Files\%Program Files%] 폴더를 삭제하시기 바랍니다.

레지스트리 편집기(regedit)를 실행하여 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\
Parameters]
값을 찾아 우측에 등록된 SErviceDll 값(C:\Progra~1\%Program Files%\1018.URL)을 더블 클릭하여 등록된 값을 삭제한 후 [%SystemRoot%\System32\appmgmts.dll] 값을 입력하시기 바랍니다.

마지막으로 서비스에 등록되어 있는 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinAudio] 값을 함께 삭제하시면 악성코드를 제거하실 수 있습니다.

더 안전한 보안을 위하여 차후 국내 보안 제품을 통해 시스템 정밀 검사를 추가로 진행하시기 바랍니다.

짧은 시간에 긴급으로 글을 작성하는 관계로 일부 부정확한 정보가 포함되었을 수 있으므로 양해하시기 바랍니다.