▷ AhnLab 위장 파일을 생성하는 멜론(Melon) 크랙 주의 (2012.3.2)
해당 멜론(Melon) 크랙은 이전에 소개한 AhnLab 파일로 위장한 악성 파일을 사용자 몰래 설치하는 크랙 제작자와 연관성이 존재한 것으로 추정되므로 참고하시기 바랍니다.
특히 이들 크랙 제작자들은 주기적으로 크랙 버전을 업데이트하고 있으며, 다수의 사용자들이 기존 버전의 크랙 파일이 막히면 업데이트된 새로운 크랙 파일을 다운로드하여 반복적으로 사용하는 과정에서 백신 프로그램의 진단을 우회할 것으로 보입니다.
현재 유포되는 멜론(Melon) 크랙 파일은 네이버(Naver) 블로그를 통해 유포가 되고 있으며, 글 작성 패턴이 이전 제작자와 유사하므로 동일인 또는 협업 관계로 추정됩니다.
- h**p://sktk***.tistory.com/attachment/cfile10.uf@133634394F4DF21128AFE7.exe (MD5 : a7dd9c224dbe16ec28c104dd93c99c40) - Avira AntiVir : BDS/Backdoor.Gen (VirusTotal : 12/42)
티스토리 블로그에 등록된 파일을 이용하여 실제 감염된 경우 어떤 동작을 하는지 살펴보도록 하겠습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys :: 수집된 정보 저장 파일
C:\Program Files\Microsoft ActiveSynces :: 숨김(H) 속성
C:\Program Files\Microsoft ActiveSynces\winupdater.exe :: 숨김(H) 속성 / 시작 프로그램 등록 파일
- MD5 : a7dd9c224dbe16ec28c104dd93c99c40
- Avira AntiVir : BDS/Backdoor.Gen (VirusTotal : 12/42)
※ winupdater.exe 파일은 티스토리 블로그에서 다운로드된 파일의 자가 복제 파일입니다.
숨김(H) 속성으로 생성된 "C:\Program Files\Microsoft ActiveSynces" 폴더 및 파일은 마치 마이크로소프트(Microsoft)사의 정상적인 폴더로 위장을 하고 있으며, 시스템 시작시 자동 실행되도록 등록되어 있습니다.
감염된 상태에서는 explorer.exe 윈도우 탐색기 프로세스를 추가로 한 개 더 생성하여 "sktkxks.codns.com" C&C 서버와 연결을 주기적으로 하는 동작을 확인할 수 있습니다.
또한 사용자가 PC에서 입력하는 모든 정보를 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys" 파일에 저장하며, 특정 시간에 저장된 파일은 외부로 전송되는 것으로 보입니다.
그 외에 자신의 동작을 원활하게 하기 위하여 윈도우 방화벽의 레지스트리 값을 추가하는 동작도 확인할 수 있었습니다.
그러므로 해당 악성코드 문제를 해결하기 위해서는 멜론(Melon) 크랙 파일 자체를 실행하는 일이 없도록 해야 할 것이며, 다음과 같은 방식으로 문제를 해결하시기 바랍니다.
(1) Windows 작업 관리자에서 explorer.exe 프로세스를 수동으로 종료하시기 바랍니다.
단, 주의할 점은 정상적인 explorer.exe 프로세스 이외에 추가적으로 explorer.exe 프로세스를 생성하여 통신을 하므로 Process Explorer 프로그램을 이용하여 단독을 실행되어 CPU 사용률이 있는 explorer.exe 프로세스를 찾아 종료하시기 바랍니다.
(2) 다음의 생성 폴더와 파일을 수동으로 삭제하시기 바랍니다.(※ 폴더 옵션에서 숨김 폴더, 파일을 표시하도록 변경하시고 찾으시기 바랍니다.)
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys
- C:\Program Files\Microsoft ActiveSynces
- C:\Program Files\Microsoft ActiveSynces\winupdater.exe
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값에 대해 수정 및 삭제를 하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- winupdater = C:\Program Files\Microsoft ActiveSynces\winupdater.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
- Userinit = C:\WINDOWS\system32\userinit.exe,C:\Program Files\Microsoft ActiveSynces\winupdater.exe :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DisableNotifications = 1
- EnableFirewall = 1
※ 참고로 변경된 레지스트리 값의 경우 "변경 후" 값을 "변경 전" 값으로 수정하시기 바랍니다.
(4) 이용하시는 멜론(Melon) 크랙 파일을 삭제하시기 바라며, 보안 제품을 통해 추가적인 정밀 검사를 진행하시는 것이 좋습니다.
앞으로도 해당 제작자들이 새로운 형태로 크랙 파일을 제작하여 유포할 것으로 보이므로 절대로 사용하지 않는 것이 중요합니다.
이번 악성코드는 감염된 PC에서 입력한 각종 정보(로그인 정보, 금융 정보 등)를 통해 악의적인 피해를 유발할 수 있으므로 파일을 삭제하신 후에는 반드시 비밀번호 변경 등의 사후 조치를 하시는 것이 안전합니다.