MS 파일로 위장하여 키로깅 기능을 하는 멜론(Melon) 크랙 주의 (2012.3.8)

최근 온라인 음악 서비스 멜론(Melon)을 불법적으로 이용할 수 있다는 점을 이용하여 멜론 크랙(Carck) 파일을 사용하는 사용자들을 대상으로 사용자 몰래 추가적인 악성 파일을 감염시켜 정보를 수집하는 사례가 지속적으로 확인되고 있습니다.

  ▷ 키로깅 기능을 추가하는 멜론(Melon) 크랙 주의 (2012.3.2)

이미 이전에 비슷한 기능을 하는 멜론 크랙 파일 유포 사례를 소개한 적이 있으므로 참고하시기 바랍니다.

 

실제 유포 방식은 국내 특정 게시판에 "멜론 mp3 파일 무료 다운로더 v2.01"이라는 제목으로 첨부 파일을 통해 전파가 이루어지고 있는 것으로 확인되었습니다.

 

멜론mp3.zip

• accelon.dll = ddlon.dll = jn.dll (MD5 : 7559ecdd5ea9209806893ccfc2105542) - AhnLab V3 : Win-Trojan/Agent.127488.HA (VirusTotal : 4/43)
• 멜론mp3.exe (MD5 : a191131d79fb3b29d68dd3c2b2e99d53)

첨부 파일에 포함된 압축 파일 내부에는 동작에 필요한 "먼저설치하기.exe (vb6ko.dll)" 파일을 비롯한 멜론 크랙 관련 파일이 들어있습니다.

참고로 3개의 dll 파일은 "AhnLab 위장 파일을 생성하는 멜론(Melon) 크랙 주의" 글에서 소개한 Melon.dll 파일과 동일합니다.

멜론mp3.exe

실제 감염을 유발하는 "멜론mp3.exe" 파일은 그림과 같은 아이콘 모양과 "Project1"이라는 이름으로 등록되어 있습니다.

 

멜론mp3.exe 파일을 실행하면 "멜론mp3 무료 다운로더"라는 이름의 창이 생성되며, 사용자가 1번을 클릭할 경우 특정 서버(wo.to)에서 adad.exe 파일을 다운로드하여 "C:\adad.exe" 위치에 생성하는 동작을 합니다.

 

그 후 안내창 생성을 통해 2번을 실행하라는 메시지가 나오며 사용자가 2번 버튼을 클릭할 경우 "C:\adad.exe" 파일은 "C:\WINDOWS\MSDCSC\msdcsc.exe" 파일 형태로 자가 복제를 진행합니다.

 

[생성 폴더 / 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs\2012-03-08-5.dc

C:\adad.exe
- MD5 : e7de1f4803a2e98a49308bfe99133a10
- Microsoft : Backdoor:Win32/Fynloski.A (VirusTotal : 14/43)

C:\WINDOWS\MSDCSC
C:\WINDOWS\MSDCSC\msdcsc.exe
 - MD5 : e7de1f4803a2e98a49308bfe99133a10
 - Microsoft : Backdoor:Win32/Fynloski.A (VirusTotal : 14/43)

 

 

다운로드된 adad.exe(= msdcsc.exe) 파일은 숨김(H) 속성을 가지고 있으며, 마이크로소프트(Microsoft) 업체에서 제공하는 Remote Service Application 파일로 위장을 하고 있는 것을 확인할 수 있습니다.

시스템 폴더에 추가된 msdcsc.exe 파일은 시작 프로그램으로 등록되어 시스템 시작시마다 자동으로 실행되며, 다음과 같은 동작을 확인할 수 있습니다.

 

메모리에 상주하는 msdcsc.exe 파일은 "rjsgh1225.no-ip.biz(116.36.177.3:1604)" 원격 C&C 서버와 지속적으로 연결을 유지하며, "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs" 폴더 내부에 사용자가 입력하는 각종 키 값을 수집하는 동작을 확인할 수 있습니다.

 

실제 저장된 정보를 확인해보면 사용자가 네이버(Naver)에 접속하여 로그인을 시도할 경우 입력된 아이디(ID), 비밀번호가 그대로 저장되는 것을 확인할 수 있습니다.

이렇게 저장된 정보는 외부로 유출되어 수집된 정보를 이용하여 악의적인 행위나 판매를 통해 금전적 수익으로 연결될 수 있으므로 주의하셔야 합니다.

해당 악성코드에 감염된 경우 보안 제품을 통해 문제를 해결하시거나, 다음과 같은 방법으로 사용자가 직접 문제를 해결하시기 바랍니다.

(1) 폴더 옵션을 실행하여 "보호된 운영 체제 파일 숨기기" 체크 해제와 "숨김 파일 및 폴더 표시" 체크를 하시기 바랍니다.

 

(2) Windows 작업 관리자를 실행하여 msdcsc.exe 프로세스를 수동으로 종료하시기 바랍니다.

 

(3) 윈도우 탐색기를 실행하여 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

 

• C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs
• C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs\2012-(월)-(일)-(숫자).dc
• C:\WINDOWS\MSDCSC
• C:\WINDOWS\MSDCSC\msdcsc.exe
• C:\adad.exe

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 키 값 삭제 및 수정을 하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MicroUpdate = C:\WINDOWS\MSDCSC\msdcsc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\MSDCSC\msdcsc.exe :: 변경 후

※ "변경 후" 값은 "변경 전" 값으로 반드시 수정하시기 바랍니다.

감염으로 변경된 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 값

변경 방법은 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 레지스트리 값을 찾아 우측의 "Userinit" 항목을 더블 클릭하시기 바랍니다.

 

생성된 "문자열 편집" 창에서 "C:\WINDOWS\MSDCSC\msdcsc.exe" 값 데이터를 지우시기 바랍니다.

모든 작업이 완료된 후에는 추가적으로 멜론 크랙 관련 파일 일체를 모두 삭제하시기 바라며, 반복적으로 멜론 서비스를 불법적으로 이용할 목적으로 실행할 경우 재감염이 발생하므로 절대로 사용하지 않는 것이 중요합니다.