울지않는벌새 : Security, Movie & Society

AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)

벌새::Analysis
최근 사용자 몰래 설치되어지는 악성 파일 중 AMD 파일로 위장을 하여 설치되는 악성코드를 확인하였으며, 현재 악성 파일은 시스템 시작시 자동 실행되어 추가적인 명령을 기다리는 것으로 추정됩니다.

유포되는 파일은 "AMD Optimization"이라는 등록명으로 사용자 몰래 시스템 시작시 자동으로 다운로드되어 설치가 이루어지고 있으며, 다음과 같은 3종의 설치 파일이 발견되고 있습니다.
  1. h**p://down*.*counter.kr/120320/4.exe (MD5 : bb21c20100618bccceecf1d2f608c81f) - Hauri ViRobot : Dropper.S.Agent.167936.E (VirusTotal : 1/43)
  2. h**p://down*.*counter.kr/120320/5.exe (MD5 : 00a80991891efe393deb7332e968da26) - Hauri ViRobot : Dropper.S.Agent.167936.F (VirusTotal : 1/43)
  3. h**p://down*.*counter.kr/120320/6.exe (MD5 : 8bcbe585a2af7a206dc071695d9901cc) - Hauri ViRobot : Dropper.S.Agent.167936.G (VirusTotal : 1/43)

참고로 알약(ALYac) 보안 제품에서는 Trojan.Downloader.Boos99 진단명으로 진단되고 있습니다.

해당 악성 파일이 실행되면 중국(China)에 위치한 특정 서버로 설치 PC의 OS, Mac Address 정보 등이 전송되는 것을 확인할 수 있습니다.

  • h**p://boosboos99.pnsweb.net/ls_install.asp?mac=(사용자 Mac Address)&code=A1115
  • h**p://boosboos99.pnsweb.net/xp_install.asp?mac=(사용자 Mac Address)&code=A1115
[생성 폴더 / 파일 등록 정보]

C:\AMD
C:\AMD\User
C:\AMD\User\Temp
C:\AMD\User\amdovd.exe :: 메모리 상주 프로세스
 - MD5 : 8f4bd5cc78b819e5bb883c032852cd67
 - 알약(ALYac) : Trojan.Downloader.Boos99

C:\AMD\User\aoa.dll
C:\AMD\User\aob.dll
C:\AMD\User\aou.exe :: 시작 프로그램 등록 파일
 - MD5 : c0f8e6a3fe6b0b7820a2a4eab86fe591
 - 알약(ALYac) : Trojan.Downloader.Boos99


해당 프로그램은 "C:\AMD\User" 폴더에 파일을 생성하며 다음과 같은 순서로 설치가 이루어집니다.

"C:\AMD\User\aou.exe" 파일 생성 후 1분 경과하는 시점에서 aoa.dll 파일을 다운로드합니다.

  • h**p://boosboos99.pnsweb.net/**date/aoa.dll

참고로 aoa.dll, aob.dll 파일은 모두 동일한 파일로 파일 내부에는 그림과 같은 정보를 포함하고 있습니다.

② 그 후 2분이 경과하는 시점에서 "C:\AMD\User\amdovd.exe" 파일을 추가로 실행하여 다음과 같은 체크를 진행합니다.

  • h**p://boosboos99.pnsweb.net/ls_init.asp
  • h**p://boosboos99.pnsweb.net/ls_resettime.asp
  • h**p://boosboos99.pnsweb.net/ls_cur_run.asp?mac=(사용자 Mac Address)&code=120315

  국내 악성코드 : wfindsearchc 1.00 (2011.7.21)

현재까지 설치되는 근거로 해당 악성 프로그램은 과거 "wfindsearchc 1.00" 광고 프로그램이 설치된 환경에서 사용자 몰래 "C:\Program Files\GNU\Update" 폴더를 생성하여 금전적 수익을 창출하기 위한 프로그램을 설치하는데 사용된 패턴과 유사성이 강하므로 참고하시기 바랍니다.

이렇게 설치된 프로그램은 시스템 시작시마다 시작 프로그램으로 등록된 aou.exe 파일을 자동으로 실행하여, ①~②번 동작을 반복하도록 구성되어 있습니다.

이렇게 메모리에 상주하는 amdovd.exe 프로세스는 외부와 통신을 전혀 하지 않는 것처럼 보이지만, 사용자가 인터넷을 이용하는 과정에서 35~40분 이상 주기로 다음과 같은 외부 연결을 체크하는 동작을 확인할 수 있습니다.

  • h**p://boosboos99.pnsweb.net/ls_resetword.asp
  • h**p://boosboos99.pnsweb.net/ls_init.asp

현재에는 추가적인 다운로드 및 광고 동작은 확인되지 않고 있지만, 차후 사용자 몰래 프로그램 설치 등의 악의적 동작이 예상되므로 삭제를 하시기 바랍니다.

해당 프로그램은 삭제 기능을 제공하지 않으므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

(1) Windows 작업 관리자에서 amdovd.exe 프로세스를 찾아 수동으로 삭제하시기 바랍니다.

(2) 윈도우 탐색기를 이용하여 "C:\AMD\User" 폴더를 비롯한 파일을 모두 삭제하시기 바랍니다.


(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.


HKEY_CURRENT_USER\Software\INUA
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AMDUtil = "C:\AMD\User\aou.EXE" -vv


모든 작업이 완료된 후에는 보안 제품을 이용하여 해당 프로그램을 사용자 몰래 설치한 추가적인 프로그램을 찾아 삭제를 하시는 것이 좋습니다.

특히 해당 악성 파일 설치시 시스템 시작시 1회(RunOnce)만 실행된 후 자가 삭제되는 파일을 이용하는 방식으로 감염을 유발하는 것으로 추정되므로 시작 프로그램에 등록된 파일을 집중적으로 점검할 필요가 있다고 판단됩니다.