울지않는벌새 : Security, Movie & Society

네이트온(NateOn) 메신저 악성코드 : play.exe (2011.11.14)

벌새::Analysis
반 년 가까이 네이트온(NateOn) 메신저의 쪽지 등을 통해 악성코드 유포에 대한 내용을 다루지 않고 있었으나, 최근 주말을 통해 비디오를 볼 수 있다는 메시지와 함께 특정 악성 링크(URL)를 통해 악성 파일을 유포하는 행위가 확인되었습니다.

다운로드된 play.exe(MD5 : 1b727875495c57f29d6890727ccf6915) 파일은 "Ghost Security Unified Driver"라는 이름으로 등록되어 있으며, 사용자가 동영상 플레이어 등으로 오해하여 실행시 악성 파일을 설치후 자신은 스스로 삭제 처리가 됩니다.

참고로 해당 파일에 대하여 마이크로소프트(Microsoft) 보안 제품에서는 TrojanDropper:Win32/Farfli.E (VirusTotal : 28/42) 진단명으로 진단되며, 안철수연구소(AhnLab) V3 제품에서는 ASD.Prevention 진단명으로 사전 차단되고 있습니다.

[생성 파일 및 진단 정보]

C:\1438600.dll :: 자가 삭제
C:\NT_Path.jpg :: 자가 삭제

C:\Program Files\Mohw\Fpfcvmgox.pic
 - MD5 : 7ad614fbf0ed41e0a63d770b2dbff274
 - Microsoft : Backdoor:Win32/Farfli.O (VirusTotal : 21/42)
※ Fpfcvmgox.pic 파일은 생성시 3~18MB 등 다양한 파일 크기로 랜덤하게 생성됩니다.

생성된 파일을 살펴보면 파일 크기가 매우 유동적인 [C:\Program Files\Mohw\Fpfcvmgox.pic] 파일을 생성하며, 설치 파일과 마찬가지로 Ghost Security 관련 파일로 위장을 하고 있습니다.

해당 파일(Fpfcvmgox.pic)은 svchost.exe 프로세스에 서비스로 등록되어 6464번 포트(Port)를 이용하여 미국(USA)에 위치한 204.45.118.114(qipai.6600.org) IP 서버와 연결을 유지하는 모습을 확인할 수 있습니다.

참고로 해당 악성코드는 Fpfcvmgox.pic 파일을 "Npixcu oippkjl(Tslsyv jkluiojk Oilk)"라는 서비스로 등록하여 svchost.exe 프로세스에 [C:\WINDOWS\System32\svchost.exe -k imgsvc] 커맨드 명령으로 추가하여 시스템 시작시마다 자동으로 동작합니다.

참고로 연결 초기에 "Gh0st"라는 정보가 포함된 패킷이 외부로 전송되는 것을 확인할 수 있습니다.

해당 악성코드에 감염된 경우 사용자가 악성 svchost.exe 프로세스를 찾아 수동으로 종료할 경우에도 자동으로 복구되는 문제가 발생하므로 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

1. 서비스(services.msc) 항목에서 "Tslsyv jkluiojk Oilk" 서비스 중지하기

서비스 항목에서 "Tslsyv jkluiojk Oilk" 이름으로 등록된 "Npixcu oippkjl" 서비스를 찾아 시작 유형을 [사용 안 함]으로 변경하시기 바랍니다.

2. 반드시 시스템 재부팅을 진행한 후, 다음의 폴더(파일) 및 레지스트리 값을 삭제(수정)하시기 바랍니다.
  • C:\Program Files\Mohw
  • C:\Program Files\Mohw\Fpfcvmgox.pic
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\15255403 :: 해당 값은 임의의 숫자로 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\170042744 :: 해당 값은 임의의 숫자로 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Router
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPIXCU_
OIPPKJL

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
REMOTEACCESS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npixcu oippkjl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Enum

참고로 [HKEY_LOCAL_MACHINE\SOFTWARE]에 등록된 2개의 랜덤(Random)한 숫자는 그림의 내용을 참고하여 삭제하시기 바랍니다.

[변경된 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
 - Start = 4 (변경 전) / 3 (변경 후)
 - Type = 20 (변경 전) / 110 (변경 후)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
RouterManagers\Ip

 - DLLPath = %SystemRoot%\System32\iprtrmgr.dll :: 변경 전
 - DLLPath = C:\1438600.dll :: 변경 후


해당 레지스트리 값은 감염 이전(변경 전)의 값으로 사용자가 수정을 하시기 바랍니다.

위와 같은 방법으로 문제 해결을 하신 분들은 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 하시기 바라며, 해당 악성코드에 감염된 경우 백도어(Backdoor) 기능을 통한 원격 제어를 통해 외부에서 추가적인 시스템 감염(파괴) 또는 민감한 정보 탈취 등이 발생할 수 있습니다.

그러므로 메신저를 통해 비록 아는 관계일지라도 수상한 문구와 함께 제공되는 링크(URL) 또는 첨부 파일을 받아 함부로 실행하는 일이 없도록 주의하시기 바랍니다.