본문 바로가기

벌새::Analysis

hta 파일을 이용한 일본 성인 팝업 광고 주의 (2011.10.29)

반응형
오랜 전부터 스팸 메일(Spam Mail) 등을 통해 일본 성인 사이트 홍보를 목적으로 제작된 팝업 광고가 국내 인터넷 사용자들에게 불편을 유발하고 있는 것이 확인되고 있습니다.
 

2009년경 알려진 내용과 큰 차이는 없지만 최근 유포되는 hta 확장자 파일을 이용한 감염 과정과 문제 해결 방법에 대해 자세하게 살펴보도록 하겠습니다.

 

스팸 메일 등을 통해 사용자가 특정 URL 링크를 통해 일본 성인 사이트에 접속하여 성인 동영상을 감상할 목적으로 사이트에서 제시하는 절차를 따를 경우 다음과 같은 hta 확장자 파일을 다운로드하게 됩니다.

 

해당 4cc4.hta(MD5 : e26043f79adccd87c33980bf003b3180) 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.HTA.Agent.bu (VirusTotal : 1/42) 진단명으로 진단되고 있습니다.

이제 사용자가 다운로드시 "실행"을 클릭하거나 "저장"을 클릭하여 PC에 파일을 다운로드한 후 직접 파일을 실행한 경우 어떤 절차에 따라 동작하는지 알아보겠습니다.

 

4cc4.hta

4cc4.hta 파일을 살펴보면 메타 태그(Meta Tag)를 이용하여 특정 사이트(regist1.php)로 자동 이동이 이루어지도록 구성되어 있습니다.

 

regist1.php (해당 사이트는 감염 과정에서 노출되지 않습니다.)

이동된 regist1.php 사이트는 Windows Script Host Runtime Library를 실행하도록 구성되어 있으며, 해당 페이지가 어떤 동작을 하는지 확인해 보겠습니다.

 

regist1.php 소스

해당 페이지 소스를 확인해보면 VBScript를 통해 최종적으로 regist2.php를 노출시키도록 되어 있으며, 이 과정에서 난독화된 VBScript를 통해 RUN 레지스트리 값에 자신을 등록하여 시스템 시작시 자동으로 실행되도록 하였습니다.

또한 하단에서는 Windows Media Player를 이용하여 최초 광고를 동영상으로 구현하도록 구성되어 있는 것을 확인할 수 있습니다.

참고로 regist1.php 스크립트에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan.Script.Generic (VirusTotal : 1/43) 진단명으로 진단되고 있습니다.

 

최종적으로 regist2.php 페이지를 불러와 광고가 동작하게 되면 최초 광고는 바탕 화면에 그림과 같은 성인 동영상이 실행되며, 해당 페이지에 대하여 TrendMicro 보안 제품에서는 VBS_HTAPORN.SM10 (VirusTotal : 7/42) 진단명으로 진단되고 있습니다.

 

그 외에도 위와 같은 다양한 일본어로 작성된 성인 광고가 노출되며, 광고에 표시된 닫기(X) 버튼은 동작하지 않아서 광고를 쉽게 닫을 수 없도록 제작되어 있습니다.

 

해당 광고는 [C:\Windows\System32\mshta.exe] 파일을 이용하여 동작하므로, 광고 종료를 위해서는 Windows 작업 관리자에서 mshta.exe 프로세스를 수동으로 종료하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - w**.high-quality-movie.com = mshta h**p://www.********-movies.com/regist2.php

※ 일부 인터넷 주소(URL)는 * 마크 처리를 하였습니다.

 

그 후에는 반드시 레지스트리 편집기(regedit)에서 시작 프로그램으로 등록된 키값을 찾아 추가로 삭제를 하셔야 합니다.

해당 악성코드의 경우 사용자들이 인터넷 상에서 다운로드되는 파일을 아무런 생각없이 실행하여 발생하는 경우라고 판단되므로 성인 사이트 등에서 제공하는 파일을 함부로 실행하여 고생하는 일이 없도록 주의하시기 바랍니다.

728x90
반응형
  • 시청자 2011.10.29 21:21 댓글주소 수정/삭제 댓글쓰기

    잘보았습니다

    그런데 모자이크 사진이라도 대중감이 오는 제가
    뵨태일까요 다른사진이나 좀더 모자이크 처리
    했으면 합니다 임삿갓 사진요

  • 시청자 2011.10.29 21:42 댓글주소 수정/삭제 댓글쓰기

    맨위에 모자이크 한 사진이 무엇을 하고있다라는것과, 다른 사진들 관련된것은 모두 모자이크 처리 해주셨으면 합니다.
    모자이크시 모자이크한 박스의 크기가 작으면 하나마나 형상이 거의 보이게 되니 안보이도록 모자이크했으면 좋겠네요.

  • 원본좀 ㅡㅡㅋ

  • 제발요 2011.11.28 04:44 댓글주소 수정/삭제 댓글쓰기

    흐헝헝,,,
    악성코드 드디어 고쳤어요
    고마워요

  • 도와주세요ㅠㅠ 2011.12.31 21:45 댓글주소 수정/삭제 댓글쓰기

    레지스트리로 들어가서 run폴더로 들어갔는데 제 컴퓨터에 뜨는 팝업 키값은 없는것 같아요...계속 일본 사이트 팝업이 뜨는데 꺼도 꺼도 안없어지고요..그 일본 사이트에 제 컴퓨터 정보가 저장돼서 팝업 뜨게 하는거라는데 결제해야 없어진단 말 뿐이구요ㅜㅜ 도와주세요 제발요 급해요...

    • 시작 레지스트리 값이 다를 수도 있지만 저런 형태와 유사한게 없다면 다른 종류가 아닌가 생각됩니다.ㅠㅠ

      알약이나 보호나라(전화 118번)에 무료 원격 지원 요청을 해보시기 바랍니다.

  • 감사합니다 2012.02.02 14:43 댓글주소 수정/삭제 댓글쓰기

    같은 회사에 계신 분이 이 문제로 스트레쓰 엄청 받던 참에, 님 블로그에 적힌 방법으로 삭제했더니, 마치 제가 컴퓨터 도사라도 된 듯한 눈으로 쳐다 보시네요 ^^;; 도움 많이 됐습니다. 앞으로도 좋은 정보 기대할게요. 감사합니다.

  • 라라 2012.08.02 05:08 댓글주소 수정/삭제 댓글쓰기

    감사한 방법으로 삭제했습니다! 좀 뒷북인데, 이렇게 실행되도 여기서 뜨는 내용 (회원등록이 되었으니 결제 입금을 해라) 도 광고인지... 확실하게 알고싶습니다.../////