본문 바로가기

벌새::Analysis

MS 파일로 위장하여 키로깅 기능을 하는 멜론(Melon) 크랙 주의 (2012.3.8)

최근 온라인 음악 서비스 멜론(Melon)을 불법적으로 이용할 수 있다는 점을 이용하여 멜론 크랙(Carck) 파일을 사용하는 사용자들을 대상으로 사용자 몰래 추가적인 악성 파일을 감염시켜 정보를 수집하는 사례가 지속적으로 확인되고 있습니다.

  키로깅 기능을 추가하는 멜론(Melon) 크랙 주의 (2012.3.2)

이미 이전에 비슷한 기능을 하는 멜론 크랙 파일 유포 사례를 소개한 적이 있으므로 참고하시기 바랍니다.

 

실제 유포 방식은 국내 특정 게시판에 "멜론 mp3 파일 무료 다운로더 v2.01"이라는 제목으로 첨부 파일을 통해 전파가 이루어지고 있는 것으로 확인되었습니다.

 

멜론mp3.zip

  • accelon.dll = ddlon.dll = jn.dll (MD5 : 7559ecdd5ea9209806893ccfc2105542) - AhnLab V3 : Win-Trojan/Agent.127488.HA (VirusTotal : 4/43)
  • 멜론mp3.exe (MD5 : a191131d79fb3b29d68dd3c2b2e99d53)

첨부 파일에 포함된 압축 파일 내부에는 동작에 필요한 "먼저설치하기.exe (vb6ko.dll)" 파일을 비롯한 멜론 크랙 관련 파일이 들어있습니다.

참고로 3개의 dll 파일은 "AhnLab 위장 파일을 생성하는 멜론(Melon) 크랙 주의" 글에서 소개한 Melon.dll 파일과 동일합니다.

멜론mp3.exe

실제 감염을 유발하는 "멜론mp3.exe" 파일은 그림과 같은 아이콘 모양과 "Project1"이라는 이름으로 등록되어 있습니다.

 

멜론mp3.exe 파일을 실행하면 "멜론mp3 무료 다운로더"라는 이름의 창이 생성되며, 사용자가 1번을 클릭할 경우 특정 서버(wo.to)에서 adad.exe 파일을 다운로드하여 "C:\adad.exe" 위치에 생성하는 동작을 합니다.

 

그 후 안내창 생성을 통해 2번을 실행하라는 메시지가 나오며 사용자가 2번 버튼을 클릭할 경우 "C:\adad.exe" 파일은 "C:\WINDOWS\MSDCSC\msdcsc.exe" 파일 형태로 자가 복제를 진행합니다.

 

[생성 폴더 / 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs\2012-03-08-5.dc

C:\adad.exe
- MD5 : e7de1f4803a2e98a49308bfe99133a10
- Microsoft : Backdoor:Win32/Fynloski.A (VirusTotal : 14/43)

C:\WINDOWS\MSDCSC
C:\WINDOWS\MSDCSC\msdcsc.exe
 - MD5 : e7de1f4803a2e98a49308bfe99133a10
 - Microsoft : Backdoor:Win32/Fynloski.A (VirusTotal : 14/43)

 

 

다운로드된 adad.exe(= msdcsc.exe) 파일은 숨김(H) 속성을 가지고 있으며, 마이크로소프트(Microsoft) 업체에서 제공하는 Remote Service Application 파일로 위장을 하고 있는 것을 확인할 수 있습니다.

시스템 폴더에 추가된 msdcsc.exe 파일은 시작 프로그램으로 등록되어 시스템 시작시마다 자동으로 실행되며, 다음과 같은 동작을 확인할 수 있습니다.

 

메모리에 상주하는 msdcsc.exe 파일은 "rjsgh1225.no-ip.biz(116.36.177.3:1604)" 원격 C&C 서버와 지속적으로 연결을 유지하며, "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs" 폴더 내부에 사용자가 입력하는 각종 키 값을 수집하는 동작을 확인할 수 있습니다.

 

실제 저장된 정보를 확인해보면 사용자가 네이버(Naver)에 접속하여 로그인을 시도할 경우 입력된 아이디(ID), 비밀번호가 그대로 저장되는 것을 확인할 수 있습니다.

이렇게 저장된 정보는 외부로 유출되어 수집된 정보를 이용하여 악의적인 행위나 판매를 통해 금전적 수익으로 연결될 수 있으므로 주의하셔야 합니다.

해당 악성코드에 감염된 경우 보안 제품을 통해 문제를 해결하시거나, 다음과 같은 방법으로 사용자가 직접 문제를 해결하시기 바랍니다.

(1) 폴더 옵션을 실행하여 "보호된 운영 체제 파일 숨기기" 체크 해제와 "숨김 파일 및 폴더 표시" 체크를 하시기 바랍니다.

 

(2) Windows 작업 관리자를 실행하여 msdcsc.exe 프로세스를 수동으로 종료하시기 바랍니다.

 

(3) 윈도우 탐색기를 실행하여 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs\2012-(월)-(일)-(숫자).dc
  • C:\WINDOWS\MSDCSC
  • C:\WINDOWS\MSDCSC\msdcsc.exe
  • C:\adad.exe

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 키 값 삭제 및 수정을 하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MicroUpdate = C:\WINDOWS\MSDCSC\msdcsc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\MSDCSC\msdcsc.exe :: 변경 후

"변경 후" 값은 "변경 전" 값으로 반드시 수정하시기 바랍니다.

감염으로 변경된 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 값

변경 방법은 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 레지스트리 값을 찾아 우측의 "Userinit" 항목을 더블 클릭하시기 바랍니다.

 

생성된 "문자열 편집" 창에서 "C:\WINDOWS\MSDCSC\msdcsc.exe" 값 데이터를 지우시기 바랍니다.

모든 작업이 완료된 후에는 추가적으로 멜론 크랙 관련 파일 일체를 모두 삭제하시기 바라며, 반복적으로 멜론 서비스를 불법적으로 이용할 목적으로 실행할 경우 재감염이 발생하므로 절대로 사용하지 않는 것이 중요합니다.

  • 이글을 안봤으면 아무것도 모르고 당할뻔했습니다...
    해킹수법들은 정말 날로 교묘해지는것 같네요
    좋은글 감사합니다^^

  • 멜론크랙의심툴 2012.03.08 18:00 댓글주소 수정/삭제 댓글쓰기

    아주 예전에 한번 덧글로 문의를 했었는데 철저히 사냥당한...1인

  • 가나다 2012.03.10 02:00 댓글주소 수정/삭제 댓글쓰기

    헐 ㅠㅠ 그머시냐
    파일실행시 해당사이트에서 파일불러오는거어덯게체크하나요?
    그냥 스니퍼같은건가요?

    글고 실행할경우 어느경로에 파일이 실행될지 어떻게알죠?

  • 제가오늘 멜론크랙을 썽어여 ㅠㅠ 2012.03.10 22:40 댓글주소 수정/삭제 댓글쓰기

    ㅠㅠ 오늘 멜론 크랙을 썻는데
    무슨 딜 그런거 아무것두없이
    Melon.exe << 이것만잇어요... 바이러스 감지두 안되고요 ㅠㅠ
    이미사용을햇는데 치료방법 잇지 않을까요 ㅠㅠ...?
    아님 아예 바이러스 없는거 아니에여?? 바이러스 확인 방법좀요 ㅠㅠ

    • 크랙 동작 여부는 확인해 드릴 수 없으며, 제가 확인한 크랙 외의 다른 크랙의 경우에는 어떤 동작을 하는지 파일이 없이는 확인이 불가능합니다.

      되도록 해외 보안 제품을 이용하여 정밀 검사를 해보시기 바랍니다.

  • 아아규ㅠㅠㅠ 2012.03.13 20:29 댓글주소 수정/삭제 댓글쓰기

    AVAST internet security 에서 정밀검사돌렷는데 바이러스없구욤...
    V3 internet security 에서도 바이러스가 안떠요 ㅠㅠㅠ

    뭔가 바이러스 잇는거같은데... 어떻게 할 방법없나요 ??
    치료할방법이...

    • 느낌상으로 그런게 아닌가도 싶습니다.

      우선 중요한 것은 해당 크랙을 이용하지 않는 것이 중요하며, 차후 백신 업데이트를 통해 발견되지 않은 것이 발견될 수 있으므로 주기적으로 정밀 검사를 하시기 바랍니다.

  • wrq 2012.04.05 19:50 댓글주소 수정/삭제 댓글쓰기

    님덕에 멜론크랙쓸라고 알아보던중이엿는데ㅠㅗㅠ
    다행이네요~ 제친구들한태도말해서 쓰지말라고해야지ㅠㅠ
    님같은분이 천사임ㅠㅠ 그런 못된 천사의탈을 쓴 악마ㅠㅠ

  • 감사합니다