본문 바로가기

벌새::Analysis

MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)

마이크로소프트(Microsoft)사의 2012년 1월 정기 보안 업데이트에서는 "MS12-004 : Windows Media의 취약점으로 인한 원격 코드 실행 문제점(2636391)"와 관련된 긴급 보안 패치를 배포하였습니다.
 

해당 보안 패치는 MIDI(Musical Instrument Digital Interface) 파일 포멧의 취약점을 이용하여 원격 코드 실행이 가능한 CVE-2012-0003 취약점에 대한 문제가 해결되었으며, 2012년 1월 20일경부터 해당 취약점을 이용한 정보 탈취 목적의 악성코드 유포가 국내 인터넷 사용자를 표적으로 유포가 이루어지기 시작한 것으로 추정됩니다.

 

현재 하우리(Hauri) 보안 업체에서는 해당 악성코드에 대한 긴급 보안 공지를 통해 반드시 윈도우 보안 업데이트를 최신으로 유지할 것을 당부하고 있으며, 해당 글에서는 실제 감염시 동작과 수동으로 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.

 

사용자가 보안 패치를 하지 않은 상태로 특정 악성 웹 페이지에 접속을 할 경우, 악의적으로 추가된 JavaScript를 자동으로 MIDI 파일을 재생하는 과정에서 CVE-2012-0003 취약점을 이용하여 사용자 몰래 ShellCode가 실행되어 악성코드 감염이 이루어지도록 구성되어 있습니다.

해당 악성 스크립트(mp.html) 파일에 대하여 AhnLab V3 보안 제품에서는 JS/Cve-2009-0075 (VirusTotal : 15/43), 알약(ALYac)에서는 JS:Trojan.Script.FE 진단명으로 진단되고 있습니다.

이를 통하여 암호화된 악성 파일을 다운로드하여 XOR을 통해 최종적으로 실행되는 파일(MD5 : 679c4ad55ef2a44efb0dfdd90b35f0b1)에 대하여 AhnLab V3 보안 제품에서는 Spyware/Win32.Agent (VirusTotal : 25/43), 알약(ALYac)에서는 Backdoor.Agent.com32 진단명으로 진단됩니다.

 

해당 파일은 ① "C:\WINDOWS\system32\drivers\com32.sys" 드라이버 파일과 "C:\WINDOWS\system32\com32.dll" 파일을 생성하며 ② rundll32.exe 프로세스에 com32.dll 파일을 추가하여 다음과 같은 추가적인 다운로드를 진행합니다.

 

③ 파일 버전 체크 및 20120120.exe 파일 다운로드를 통해 추가적인 파일을 생성하며, 20120120.exe(MD5 : 9b193a78d27b931c5ccab76f58de3946) 파일에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 29/43), 알약(ALYac)에서는 Trojan.Dropper.OnlineGames.imm 진단명으로 진단되고 있습니다.

④ 20120120.exe 파일은 인터넷 임시 폴더에서 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\fuc(숫자+영문).tmp.exe" 파일 형태로 자신을 생성하여 "C:\WINDOWS\system32\d3dx9_09.dll" 파일 생성과 "C:\WINDOWS\system32\imm32.dll" 시스템 파일을 패치하는 동작을 진행합니다.

대략적인 감염 과정을 통해 최종적으로 생성 및 변경된 파일 정보를 살펴보면 다음과 같습니다.

 

[생성(변경)된 파일 및 진단 정보]

C:\WINDOWS\system32\drivers\com32.sys
 - MD5 : 35809ee9a1348b9b4e37d9dd750cf390
 - ESET NOD32 : a variant of Win32/CsNowDown.C (VirusTotal : 1/43), 알약(ALYac) : Backdoor.Agent.com32

C:\WINDOWS\system32\5Sbm64.tmp :: imm32.dll 백업 파일 - 정상 파일
 - MD5 : 7dc8a392c09ddf8c8fb1aa007d19d98b
※ 해당 파일명은 (6~7자리 영문+숫자).tmp 형태입니다.

C:\WINDOWS\system32\com32.dll
 - MD5 : f2c5be457268651b95146ec428a66f59
 - Microsoft : Trojan:Win32/Waltrodock.A (VirusTotal : 2/43), 알약(ALYac) : Backdoor.Agent.com32

C:\WINDOWS\system32\d3dx9_09.dll
 - MD5 : ef2f5f72cc35a513bb68a75b7875b360
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 6/42), 알약(ALYac) : Spyware.OnlineGames.imm

C:\WINDOWS\system32\imm32.dll :: 변경 전 / 후 파일 크기 : 110,080 Bytes - 악성 파일
 - MD5 : 8ce9643de4614f54a04b725bf46c096f
 - AhnLab V3 : Win-Trojan/PatchedImm13.Gen (VirusTotal : 5/43), 알약(ALYac) : Spyware.OnlineGames.imm

C:\WINDOWS\system32\VersionKey.ini

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Com32

com32.sys, com32.dll 악성 파일의 경우 파일 용량이 25~30MB로 구성되어 있는 것이 특징이며, com32.sys 파일은 기존의 kill.sys 파일과 마찬가지로 AhnLab V3, ALYac 보안 제품의 동작을 방해할 목적입니다.

 

C:\WINDOWS\system32\com32.dll

com32.dll 파일의 경우에는 다음과 같은 국내 사용자가 많이 사용하는 백신 프로그램의 동작을 방해할 수 있습니다.

 

  1. 네이버 백신 : nsvmon.npc, NVCAgent.npc
  2. AhnLab V3 : v3ltray.exe, v3lsvc.exe, v3light.exe
  3. 알약(ALYac) : AYServiceNT.aye, ALYac.aye, AYRTSrv.aye

 

C:\WINDOWS\system32\d3dx9_09.dll

d3dx9_09.dll 파일은 감염시마다 파일 용량이 달라지지만 비정상적인 크기(15~27MB 등)를 가지고 있는 것이 특징이며, 마이크로소프트(Microsoft)사의 Direct3D 9 Extensions 파일로 위장을 하고 있습니다.

참고로 해당 파일은 프로그램에서 지정한 특정 온라인 게임 등의 웹 사이트에 접속시 계정 정보를 수집하는 기능을 담당합니다.

 

C:\WINDOWS\system32\imm32.dll

해당 악성코드는 정상적인 "C:\WINDOWS\system32\imm32.dll" 시스템 파일(Windows XP IMM32 API Client DLL)을 "C:\WINDOWS\system32\(6~7자리 영문+숫자).tmp" 파일로 백업한 후 악성 파일로 패치를 하는 동작이 포함되어 있습니다.

 

이를 통해 감염된 상태에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 com32.dll, 악성 imm32.dll 파일을 추가하여 악의적인 동작을 합니다.

 

실제로 감염된 상태에서 한게임(Hangame) 사이트에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 173.208.207.250(gg.8xmall.com) 서버에 아이디(ID)와 비밀번호를 전송하는 동작을 확인할 수 있습니다.

 

우선 외형적으로 해당 악성코드에 감염된 경우 시스템 종료시 rundll32.exe 프로그램 끝내기 창이 생성되는 문제(최초 감염 후 종료할 경우), 정상적인 응용 프로그램의 오류 발생, 보안 제품의 비정상적인 동작(설치 불가 등)이 발생할 수 있습니다.

보안 제품을 통한 치료에 문제가 있는 분들은 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 절차를 준수하시기 바랍니다.

1. Windows 탐색기를 이용하여 "C:\WINDOWS\system32\drivers\com32.sys" 파일을 삭제합니다.

2. 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM32

Legacy 값 삭제를 위해서는 "LEGACY_COM32" 값에 마우스 우클릭을 통한 "사용 권한" 메뉴를 클릭하여 "모든 권한 → 허용" 항목에 체크를 하시고 삭제를 진행하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Com32

3. Windows 탐색기를 실행하여 "C:\WINDOWS\system32\d3dx9_09.dll" 파일을 삭제합니다.

4. "C:\WINDOWS\system32\imm32.dll" 파일의 확장자명을 변경합니다.(※ 예시 : imm32.dll-)

 

파일 확장자명을 변경한 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 imm32.dll 파일이 복원되므로 반드시 정상적인 imm32.dll 시스템 파일이 생성되었는지를 확인하시기 바랍니다.

만약 imm32.dll 시스템 파일이 생성되지 않은 상태에서 시스템 재부팅을 진행할 경우, 블루 스크린 발생 및 무한 재부팅 문제로 치명적인 오류가 발생할 수 있습니다.

5. "C:\WINDOWS\system32\com32.dll" 파일 삭제하기

 

com32.dll 파일은 Windows 탐색기(explorer.exe) 프로세스에 추가되어 있기 때문에 일반적인 방식으로 삭제가 되지 않는 문제가 발생하므로 다음과 같은 방식으로 파일을 삭제하시기 바랍니다.

 

Windows 작업 관리자를 실행하여 explorer.exe 프로세스를 수동으로 종료하시기 바랍니다.(※ 해당 프로세스를 종료할 경우 Windows 탐색기, 작업 표시줄이 사라집니다.)

 

다시 Windows 작업 관리자 메뉴 중 "파일 → 새 작업(실행...)"을 실행하여 "새 작업 만들기" 창에서 "explorer.exe" 명령어를 입력하시기 바랍니다.

그 후, Windows 탐색기를 실행하여 "C:\WINDOWS\system32\com32.dll" 파일을 찾아 삭제를 하시면 정상적으로 삭제가 이루어집니다.

6. 시스템 재부팅 및 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시기 바랍니다.

마지막으로 해당 악성코드에 감염된 사용자는 최신 윈도우 보안 패치를 설치하지 않았기 때문에 감염된 것이므로 반드시 현재까지 나온 모든 보안 패치를 설치하시는 것이 앞으로 이런 악성코드에 재감염되지 않는 방법입니다.

앞으로 주말을 중심으로 유포되는 악성코드 감염 방식으로 CVE-2012-0003 취약점을 이용한 방식이 반복적으로 이루어질 것으로 추정되므로 각별히 주의할 필요가 있습니다.

  • 비밀댓글입니다

    • 2012.02.02 16:59 댓글주소 수정/삭제

      비밀댓글입니다

    • Windows 파일보호창이 생성되는 이유는 아마 특정 시스템 파일(dll 파일)을 삭제하면서 정상적인 dll 파일로 복원이 되지 못한 경우로 보입니다.

      이 경우에는 방법이 없고 Windows CD를 넣어서 시스템 파일을 다시 복원해줘야 합니다.

      원래 시스템 파일은 치료를 하면 정상 파일로 복원해주는데 아마 사용자 PC의 경우 복원용 폴더에 있는 dll 파일로 기존에 감염되었을 정도로 PC에 문제가 많았나 봅니다.

  • 비밀댓글입니다

  • 궁금합니다 2012.06.16 22:33 댓글주소 수정/삭제 댓글쓰기

    Backdoor.agent.com32가 감염됬다고는 뜨는데 이프로그램으로 생긴다는 com32 두놈은 보이지 않네요 이경우 안심하고 다른 프로그램을 써도 되나요? 일단 네이버랑 다음 비밀번호는 바꾸긴하는데 궁금해서요

    • 궁금합니다 2012.06.16 22:52 댓글주소 수정/삭제

      그리고 아무리생각해도 쓴기억이없는 5월29일자로. 수정된 모바일이라 |로 폴더구분대체하겠습니디
      C:|users|adminster|APPDATA|Local|Microsoft|Imternet Explorer|Recovery|last active|{1E518128-A993-11E1-A12C-001D607EC407}.dat.
      로 저장되있습니다

    • 일반적으로 이들 악성코드는 온라인 게임, 문화 상품권 관련 웹 사이트 서비스를 노리고 있습니다.

      하지만 최근에는 포털 사이트 계정 정보도 수집하는 악성 파일이 있다고 보고되고 있으므로 치료 후에는 반드시 함께 변경하시는 것이 안전합니다.

    • 아래 부분은 제가 잘 알지 못하는 부분 같습니다. 죄송합니다.