)
)그 중에서 "세모업데이터"로 추가된 악성 파일을 설치할 경우 외부에서 감염된 PC의 화면을 훔쳐보기가 가능한 악성코드를 설치하는 동작을 확인할 수 있습니다.
참고로 해당 설치 파일(MD5 : 4eaef2565179f01824e771e46ba5f94f)에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 3/43) 진단명으로 사전 차단되고 있습니다.
- h**p://top.*****.com/Msalt.exe (MD5 : ec2f0a53cdefc41b92a9a52c922904a0) - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 2/43)
최초 다운로드되는 Msalt.exe 파일은 서비스에 "MsAlerter(시스템 경고 메세지를 표시합니다)" 항목을 등록하여 시스템 시작시마다 "C:\WINDOWS\system32\Msalt.exe" 파일을 자동 실행되도록 등록을 합니다.
- h**p://top.*****.com/semo.exe (MD5 : 5867e9edcc702450a21eddc859048a7e) - VIPRE : Trojan.Win32.Generic.pak!cobra (VirusTotal : 1/43)
그 후, 시스템 시작시마다 semo.exe 파일을 다운로드하여 "C:\WINDOWS\system32\semo.exe" 파일을 생성하여, 국내 개인 도메인(pe.kr)을 통해 감염자 PC의 IP 체크, C&C 서버 로그인, 업데이트 체크 동작을 한 후 자가 삭제되도록 구성되어 있습니다.
이를 통해 감염된 환경에서는 Msalt.exe 프로세스가 메모리에 상주하며, 연결되는 C&C 서버는 일본(Japan)에 위치한 210.175.110.57 서버로 확인이 되고 있습니다.
시스템 시작시마다 반복적으로 다운로드되는 semo.exe 파일을 확인해보면 특정 베팅 관련 온라인 게임을 노리고 제작된 것으로 추정되며, 감염된 사용자는 외부에서 감염된 PC의 화면을 훔쳐볼 수 있는 것으로 추정되고 있습니다.
현재 해당 악성코드로 인한 감염자는 1시간당 1,000대 가량으로 파악되고 있으며, 차후 시스템 백신 프로그램의 진단 여부에 따라 업데이트를 통해 파일을 변경할 수 있을 것으로 추정됩니다.
그러므로 감염된 PC의 경우 백신 프로그램을 통해 치료를 할 수 있으며, 수동으로 문제 해결을 위해서는 다음과 같은 절차를 따르시기 바랍니다.
(1) "시작 → 실행" 창에 [sc stop "MsAlerter"] 명령어를 이용하여 서비스를 중지하시기 바랍니다.
(2) 다음의 파일을 찾아서 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\a.txt
- C:\WINDOWS\system32\Msalt.exe
- C:\WINDOWS\system32\Update.txt
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSALERTER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsAlerter
▷ OracleInstallManager.exe 파일을 이용한 원격 뷰어 유포 주의 (2011.9.13)
▷ 웹하드 설치 파일을 통해 유포되는 한게임 관련 악성코드 유포 주의 (2011.10.13)
해당 악성코드 계열은 과거부터 다양한 유포 방식으로 감염을 유발하여 감염된 좀비PC를 통해 사이버 범죄를 저지르고 있는 것으로 알려져 있습니다.
그러므로 자신의 PC에 설치된 국내에서 제작된 제휴(스폰서) 프로그램을 추가하는 프로그램은 되도록 삭제를 하시고 이용하시는 것이 사용자 몰래 설치되는 악성 파일로부터 PC를 보호하는 방법입니다.
또한 모니터링이 약해지는(?) 주말이 시작되는 금요일 저녁을 틈타 유포가 이루어진다는 점에서 유포 시점을 노린 것이 아닌가 생각됩니다.