울지않는벌새 : Security, Movie & Society

국내 악성코드 : 115.68.2.15 IP를 이용한 악성코드 유포 (2011.11.3)

벌새::Analysis
국내에서 제작된 악성코드 중 2010년 초부터 외부에 알려진 것으로 추정되는 115.68.2.15 IP를 이용한 악성코드 유포 행위가 지속적으로 확인이 되고 있습니다.


이 중에서 최근 유포 중인 11종의 변종 악성 파일과 감염시 어떤 프로그램을 추가적으로 설치하는지에 대해 알아보도록 하겠습니다.

  1. MD5 : aaad09f2ae8495ee27663ef6f9cd52e2 (avast! : NSIS:Downloader-UZ)
  2. MD5 : d3af3542339dd285391122d59a599d9a (Kaspersky : Trojan-Downloader.Win32.Agent.gpyo)
  3. MD5 : 05547e3020860d549285f12e22338a19 (avast! : Win32:Dropper-gen)
  4. MD5 : 38cdf7595bc32087884ad6c3ff81d779 (avast! : NSIS:Adware-BE)
  5. MD5 : 365d6195be3ba69a9fde7d30966ffcfd (avast! : Win32:Downloader-LCX)
  6. MD5 : 5682d603cede4014c3273545b14364f4 (ESET NOD32 : Win32/TrojanDownloader.Agent.QRS)
  7. MD5 : 6e406f721fcd2c0350c7c428fb66b36b (Dr.Web : Trojan.DownLoader3.12318)
  8. MD5 : 0b91c98dbcd3e0d52bee248cf38eb666 (AVG : Downloader.Agent2.AWFW)
  9. MD5 : 44360ad7f4cde6fd28c4d9dd59f3279b (Dr.Web : Trojan.DownLoader3.12318)
  10. MD5 : 1961290ba1ce2c1cbc0272921827d16d (avast! : NSIS:Adware-BD)
  11. MD5 : a87a798405258936c3b2006db343ba0e (AVG : Downloader.Agent2.AQHE)

해당 악성 파일은 2011년 10월 18일경에 서버에 등록되어 유포가 시작된 것으로 추정되며, 다양한 경로를 통하여 사용자 PC에 설치되어 추가적인 다운로드 행위가 발생합니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\arename
C:\Documents and Settings\(사용자 계정)\Application Data\arename\arename.exe :: 시작 프로그램 등록 파일

※ 테스트에서는 MD5 : aaad09f2ae8495ee27663ef6f9cd52e2 파일을 이용하여 테스트 하였으며, 추가 다운로드는 시점에 따라 달라질 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - arename = C:\Documents and Settings\(사용자 계정)\Application Data\arename\arename.exe
HKEY_LOCAL_MACHINE\SOFTWARE\arename

감염된 환경에서는 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더 내부에 임의의 폴더(폴더명은 파일명에 종속됩니다.)를 생성하며, 자신을 시작 프로그램에 등록하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.

참고로 시작 프로그램에 등록된 arename.exe(MD5 : 708c31d5f06e2dd81309bd62935b625e) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Gen (VirusTotal : 25/43) 진단명으로 진단되고 있습니다.

해당 arename.exe 파일은 시스템 시작시마다 001100.co.kr 서버로 쿼리(Query) 전송 및 업데이트 체크를 하는 동작을 확인할 수 있으며, 추가적으로 다음과 같은 프로그램을 사용자 몰래 설치합니다.

1. q5.exe(MD5 : b3c809b4dca369d5019ca033c3056898) - Dr.Web : Trojan.DownLoader.origin (VirusTotal : 7/43)

해당 악성코드는 acekz.exe(MD5 : 0b6ac1a443363977e11f6fb9205539e5) 파일을 추가적으로 다운로드하여 시스템 폴더 내부에 자가 복제하여 오버추어(Overture) 광고와 관련된 악의적인 동작을 하는 것으로 추정됩니다.

참고로 acekz.exe 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.HDC (VirusTotal : 9/43) 진단명으로 진단되고 있습니다.

2. bigman.exe(MD5 : 8b91dda4ec91053681d011cca9409233) - AhnLab V3 : Win-Adware/Shortcut.KorAd.83991 (VirusTotal : 3/42)

해당 악성코드는 바탕 화면에 "실시간 현금 스포츠 토토"라는 불법 도박 사이트 바로가기 아이콘을 생성하여 홍보를 하고 있습니다.

3. linkplus_brown.exe(MD5 : a5c8ceb1dbfba6c7ffdb7fc841523ea6) - nProtect : Trojan-Clicker/W32.EzSearch.624435 (VirusTotal : 25/43)

해당 악성코드는 기존에 알려진 삭제 기능을 제공하지 않는 Windows LinkPlus 광고 프로그램을 사용자 몰래 설치하고 있습니다.

4. WindowEzSearch_store.exe(MD5 : b07cde59f9c88bb362a6e3ccc18c3235) - Hauri ViRobot : Trojan.Win32.S.BHO.981832 (VirusTotal : 23/43)

해당 악성코드는 기존에 알려진 삭제 기능을 제공하지 않는 WindowEzSearch 광고 프로그램을 사용자 몰래 설치하고 있습니다.

이외에도 악성코드 유포자의 의도에 따라 언제든지 추가적인 프로그램을 사용자 몰래 설치하며, 사용자가 제대로 인지하기 어려운 폴더 위치 등에 설치되는 경우가 많을 것으로 추정됩니다.

자신도 모르게 바로가기 아이콘이 다수 등록되거나, 인터넷 이용시 원치 않는 광고창이 생성되는 행위가 발견되었을 때에는 시작 프로그램 등록 정보를 기본적으로 참고하여 등록된 파일 중 수상한 파일을 점검하시기 바랍니다.