울지않는벌새 : Security, Movie & Society

MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)

벌새::Analysis
마이크로소프트(Microsoft)사의 2012년 1월 정기 보안 업데이트에서는 "MS12-004 : Windows Media의 취약점으로 인한 원격 코드 실행 문제점(2636391)"와 관련된 긴급 보안 패치를 배포하였습니다.

해당 보안 패치는 MIDI(Musical Instrument Digital Interface) 파일 포멧의 취약점을 이용하여 원격 코드 실행이 가능한 CVE-2012-0003 취약점에 대한 문제가 해결되었으며, 2012년 1월 20일경부터 해당 취약점을 이용한 정보 탈취 목적의 악성코드 유포가 국내 인터넷 사용자를 표적으로 유포가 이루어지기 시작한 것으로 추정됩니다.

현재 하우리(Hauri) 보안 업체에서는 해당 악성코드에 대한 긴급 보안 공지를 통해 반드시 윈도우 보안 업데이트를 최신으로 유지할 것을 당부하고 있으며, 해당 글에서는 실제 감염시 동작과 수동으로 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.

사용자가 보안 패치를 하지 않은 상태로 특정 악성 웹 페이지에 접속을 할 경우, 악의적으로 추가된 JavaScript를 자동으로 MIDI 파일을 재생하는 과정에서 CVE-2012-0003 취약점을 이용하여 사용자 몰래 ShellCode가 실행되어 악성코드 감염이 이루어지도록 구성되어 있습니다.

해당 악성 스크립트(mp.html) 파일에 대하여 AhnLab V3 보안 제품에서는 JS/Cve-2009-0075 (VirusTotal : 15/43), 알약(ALYac)에서는 JS:Trojan.Script.FE 진단명으로 진단되고 있습니다.

이를 통하여 암호화된 악성 파일을 다운로드하여 XOR을 통해 최종적으로 실행되는 파일(MD5 : 679c4ad55ef2a44efb0dfdd90b35f0b1)에 대하여 AhnLab V3 보안 제품에서는 Spyware/Win32.Agent (VirusTotal : 25/43), 알약(ALYac)에서는 Backdoor.Agent.com32 진단명으로 진단됩니다.

해당 파일은 ① "C:\WINDOWS\system32\drivers\com32.sys" 드라이버 파일과 "C:\WINDOWS\system32\com32.dll" 파일을 생성하며 ② rundll32.exe 프로세스에 com32.dll 파일을 추가하여 다음과 같은 추가적인 다운로드를 진행합니다.

③ 파일 버전 체크 및 20120120.exe 파일 다운로드를 통해 추가적인 파일을 생성하며, 20120120.exe(MD5 : 9b193a78d27b931c5ccab76f58de3946) 파일에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 29/43), 알약(ALYac)에서는 Trojan.Dropper.OnlineGames.imm 진단명으로 진단되고 있습니다.

④ 20120120.exe 파일은 인터넷 임시 폴더에서 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\fuc(숫자+영문).tmp.exe" 파일 형태로 자신을 생성하여 "C:\WINDOWS\system32\d3dx9_09.dll" 파일 생성과 "C:\WINDOWS\system32\imm32.dll" 시스템 파일을 패치하는 동작을 진행합니다.

대략적인 감염 과정을 통해 최종적으로 생성 및 변경된 파일 정보를 살펴보면 다음과 같습니다.

 

[생성(변경)된 파일 및 진단 정보]

C:\WINDOWS\system32\drivers\com32.sys
 - MD5 : 35809ee9a1348b9b4e37d9dd750cf390
 - ESET NOD32 : a variant of Win32/CsNowDown.C (VirusTotal : 1/43), 알약(ALYac) : Backdoor.Agent.com32

C:\WINDOWS\system32\5Sbm64.tmp :: imm32.dll 백업 파일 - 정상 파일
 - MD5 : 7dc8a392c09ddf8c8fb1aa007d19d98b
※ 해당 파일명은 (6~7자리 영문+숫자).tmp 형태입니다.

C:\WINDOWS\system32\com32.dll
 - MD5 : f2c5be457268651b95146ec428a66f59
 - Microsoft : Trojan:Win32/Waltrodock.A (VirusTotal : 2/43), 알약(ALYac) : Backdoor.Agent.com32

C:\WINDOWS\system32\d3dx9_09.dll
 - MD5 : ef2f5f72cc35a513bb68a75b7875b360
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 6/42), 알약(ALYac) : Spyware.OnlineGames.imm

C:\WINDOWS\system32\imm32.dll :: 변경 전 / 후 파일 크기 : 110,080 Bytes - 악성 파일
 - MD5 : 8ce9643de4614f54a04b725bf46c096f
 - AhnLab V3 : Win-Trojan/PatchedImm13.Gen (VirusTotal : 5/43), 알약(ALYac) : Spyware.OnlineGames.imm

C:\WINDOWS\system32\VersionKey.ini

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Com32

com32.sys, com32.dll 악성 파일의 경우 파일 용량이 25~30MB로 구성되어 있는 것이 특징이며, com32.sys 파일은 기존의 kill.sys 파일과 마찬가지로 AhnLab V3, ALYac 보안 제품의 동작을 방해할 목적입니다.

C:\WINDOWS\system32\com32.dll

com32.dll 파일의 경우에는 다음과 같은 국내 사용자가 많이 사용하는 백신 프로그램의 동작을 방해할 수 있습니다.

  1. 네이버 백신 : nsvmon.npc, NVCAgent.npc
  2. AhnLab V3 : v3ltray.exe, v3lsvc.exe, v3light.exe
  3. 알약(ALYac) : AYServiceNT.aye, ALYac.aye, AYRTSrv.aye

C:\WINDOWS\system32\d3dx9_09.dll

d3dx9_09.dll 파일은 감염시마다 파일 용량이 달라지지만 비정상적인 크기(15~27MB 등)를 가지고 있는 것이 특징이며, 마이크로소프트(Microsoft)사의 Direct3D 9 Extensions 파일로 위장을 하고 있습니다.

참고로 해당 파일은 프로그램에서 지정한 특정 온라인 게임 등의 웹 사이트에 접속시 계정 정보를 수집하는 기능을 담당합니다.

C:\WINDOWS\system32\imm32.dll

해당 악성코드는 정상적인 "C:\WINDOWS\system32\imm32.dll" 시스템 파일(Windows XP IMM32 API Client DLL)을 "C:\WINDOWS\system32\(6~7자리 영문+숫자).tmp" 파일로 백업한 후 악성 파일로 패치를 하는 동작이 포함되어 있습니다.

이를 통해 감염된 상태에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 com32.dll, 악성 imm32.dll 파일을 추가하여 악의적인 동작을 합니다.

실제로 감염된 상태에서 한게임(Hangame) 사이트에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 173.208.207.250(gg.8xmall.com) 서버에 아이디(ID)와 비밀번호를 전송하는 동작을 확인할 수 있습니다.

우선 외형적으로 해당 악성코드에 감염된 경우 시스템 종료시 rundll32.exe 프로그램 끝내기 창이 생성되는 문제(최초 감염 후 종료할 경우), 정상적인 응용 프로그램의 오류 발생, 보안 제품의 비정상적인 동작(설치 불가 등)이 발생할 수 있습니다.

보안 제품을 통한 치료에 문제가 있는 분들은 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 절차를 준수하시기 바랍니다.

1. Windows 탐색기를 이용하여 "C:\WINDOWS\system32\drivers\com32.sys" 파일을 삭제합니다.

2. 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM32

Legacy 값 삭제를 위해서는 "LEGACY_COM32" 값에 마우스 우클릭을 통한 "사용 권한" 메뉴를 클릭하여 "모든 권한 → 허용" 항목에 체크를 하시고 삭제를 진행하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Com32

3. Windows 탐색기를 실행하여 "C:\WINDOWS\system32\d3dx9_09.dll" 파일을 삭제합니다.

4. "C:\WINDOWS\system32\imm32.dll" 파일의 확장자명을 변경합니다.(※ 예시 : imm32.dll-)

파일 확장자명을 변경한 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 imm32.dll 파일이 복원되므로 반드시 정상적인 imm32.dll 시스템 파일이 생성되었는지를 확인하시기 바랍니다.

만약 imm32.dll 시스템 파일이 생성되지 않은 상태에서 시스템 재부팅을 진행할 경우, 블루 스크린 발생 및 무한 재부팅 문제로 치명적인 오류가 발생할 수 있습니다.

5. "C:\WINDOWS\system32\com32.dll" 파일 삭제하기

com32.dll 파일은 Windows 탐색기(explorer.exe) 프로세스에 추가되어 있기 때문에 일반적인 방식으로 삭제가 되지 않는 문제가 발생하므로 다음과 같은 방식으로 파일을 삭제하시기 바랍니다.

Windows 작업 관리자를 실행하여 explorer.exe 프로세스를 수동으로 종료하시기 바랍니다.(※ 해당 프로세스를 종료할 경우 Windows 탐색기, 작업 표시줄이 사라집니다.)

다시 Windows 작업 관리자 메뉴 중 "파일 → 새 작업(실행...)"을 실행하여 "새 작업 만들기" 창에서 "explorer.exe" 명령어를 입력하시기 바랍니다.

그 후, Windows 탐색기를 실행하여 "C:\WINDOWS\system32\com32.dll" 파일을 찾아 삭제를 하시면 정상적으로 삭제가 이루어집니다.

6. 시스템 재부팅 및 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시기 바랍니다.

마지막으로 해당 악성코드에 감염된 사용자는 최신 윈도우 보안 패치를 설치하지 않았기 때문에 감염된 것이므로 반드시 현재까지 나온 모든 보안 패치를 설치하시는 것이 앞으로 이런 악성코드에 재감염되지 않는 방법입니다.

앞으로 주말을 중심으로 유포되는 악성코드 감염 방식으로 CVE-2012-0003 취약점을 이용한 방식이 반복적으로 이루어질 것으로 추정되므로 각별히 주의할 필요가 있습니다.