울지않는벌새 : Security, Movie & Society

KMPlayer 설치 파일 변조를 통한 백도어 감염 주의 (2011.11.27)

벌새::Analysis
국내 동영상 플레이어 KMPlayer 홈페이지에서 제공하는 최신 버전(The KMPlayer 3.0.0.1442)의 설치 파일을 다운로드하여 설치를 시도하는 과정에서 사용자 몰래 백도어(Backdoor)가 설치되어 청부 DDoS 공격을 하는 것으로 추정되는 동작을 확인하였습니다.

실제 홈페이지에 게시된 The KMPlayer 3.0.0.1442 버전의 설치 파일 MD5 값(01499e9fe650cc8fa09f80238564ea6b)과 실제 다운로드된 설치 파일의 MD5 값(df09ccc1c473aae3e2cc4b0cfb37dd2f)은 차이가 나는 것을 확인할 수 있습니다.

또한 해당 다운로드된 KMPlayer 설치 파일은 디지털 서명도 없으며, 중국어로 표기된 변조된 설치 파일임을 확인할 수 있습니다.

해당 악성코드에 대한 기술적 내용은 처리님의 블로그 내용을 참고하시기 바라며, 해당 악성코드는 4월경 발견된 다양한 설치 파일 변조를 통한 백도어 설치와 같은 계열의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

사용자가 KMPlayer 최신 버전의 설치 파일을 다운로드하여 설치를 위해 최초 클릭을 진행하면 위와 같은 언어 선택 화면이 생성되며, 이 과정에서 사용자 몰래 다음과 같은 악의적인 동작을 확인할 수 있습니다.

KMPlayer 설치를 진행하는 과정에서 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp] 폴더 내부에 2개의 파일을 생성하며, 그 중 하나는 정상적인 KMPlayer 설치 파일이지만, 다른 하나는 "I(임의의 문자)a(임의의 문자)l(임의의 문자)r.exe" 패턴의 악성 파일입니다.

해당 악성 파일(MD5 : 6f4b56d5dccc97646fc838c6efc71234)은 마이크로소프트(Microsoft) 관련 파일로 위장을 하고 있으며, BitDefender 보안 제품에서는 Gen:Trojan.Heur2.BDT.Ju0@cOfEsaab1d (VirusTotal : 12/43) 진단명으로 사전 차단을 하고 있습니다.

 

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\T(임의의 문자)m(임의의 문자)t(임의의 문자)D.dll :: 숨김(H) 속성
 - MD5 : 2117336c4866707a56ae3c572b40529f
 - AhnLab V3 : Backdoor/Win32.Nbdd (VirusTotal : 38/43), 알약(ALYac) : Trojan.DDoS.Agent.ulo

최종적으로 생성된 악성 파일은 시스템 폴더 내부에 Battery Meter Helper DLL이라는 숨김(H) 속성의 "T(임의의 문자)m(임의의 문자)t(임의의 문자)D.dll" 패턴의 악성 파일을 생성하며, 중국에서 제작된 파일로 추정됩니다.

감염된 PC 환경에서는 "T(임의의 문자)m(임의의 문자)t(임의의 문자)D.dll" 파일을 svchost.exe 서비스에 등록하여 시스템 시작시 자동으로 실행되도록 구성하였으며, 중국(China)에 위치한 60.191.196.82 C&C 서버와 연결을 시도하는 것을 확인할 수 있습니다.

서비스(services.msc) 항목을 확인해보면 "MedialCentero x38(MS Mediao Control lCenter x38)"라는 이름으로 "C:\WINDOWS\System32\svchost.exe -k krnlsrvc" 명령어를 통해 등록이 되어 실행되어 있는 것을 확인할 수 있습니다.

해당 악성코드는 감염 후 일정 시간이 경과하면 공격자의 명령에 따라 특정 IP(112.175.127.78)에 HTTP GET, ICMP Flooding 방식의 DDoS 공격을 하는 것을 확인할 수 있습니다.

하지만 해당 서버는 불법 유해 정보 사이트로 국가 기관에서 차단한 것으로 보아 도박 등 불법적인 사이트로 추정되므로 해당 공격은 특정 유사 업체의 요구에 따른 청부 DDoS 공격이 아닌가 개인적으로 생각됩니다.

현재 해당 악성코드는 국내외 대부분의 보안 제품에서 진단 및 치료가 가능할 것으로 보이며, 수동으로 문제 해결을 원하시는 분들은 다음의 절차에 따르시기 바랍니다.

먼저 생성 파일이 Windows 기본값으로는 보이지 않으므로 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목의 체크 해제 및 [숨김 파일 및 폴더 표시] 항목에 체크를 하시고 확인하시기 바랍니다.

1. Process Explorer 툴을 이용하여 다수의 svchost.exe 프로세스 중 "C:\WINDOWS\System32\svchost.exe -k krnlsrvc" 항목이 포함된 프로세스를 찾아 수동으로 종료하시기 바랍니다.

참고로 Process Explorer에 표시된 svchost.exe 프로세스에 마우스를 올리시면 커맨드(Command) 명령어가 노출되므로 찾는데 편할 수 있습니다.

2. Windows 탐색기를 이용하여 [C:\WINDOWS\system32\T(임의의 문자)m(임의의 문자)t(임의의 문자)D.dll] 파일을 찾아 삭제하시기 바랍니다.(※ 해당 파일은 설치 PC마다 파일명이 다르므로 파일 패턴을 잘 살피시기 바랍니다.)

3. 레지스트리 편집기(regedit)에서 다음의 값을 찾아 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - krnlsrvc = MedialCentero x38
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MEDIALCENTERO_X38

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MedialCentero x38

 

마지막으로 국내외 유명 보안 제품을 이용하여 정밀 검사를 하시기 바라며, 현재 감염 대상자는 어제경부터 현재까지 KMPlayer 홈페이지에서 최신 버전의 설치 파일을 다운로드하여 실행한 사용자에 한하여 감염된 것으로 보이므로 기존의 KMPlayer 제품 사용자에게는 영향이 없을 것으로 보입니다.

하지만 안전을 위하여 KMPlayer 제품 사용자는 보안 제품을 이용하여 정밀 검사를 하시길 권장합니다.

또한 해당 사이버 범죄자는 과거부터 인기 있는 소프트웨어의 설치 파일을 변조하여 프로그램 설치시 감염을 시켜 좀비PC를 확보하는 것으로 보이므로, 항상 보안 제품의 실시간 감시를 ON 하시고 이용하는 습관을 가지시기 바랍니다.