본문 바로가기

벌새::Analysis

국내 파일 다운로더 프로그램을 이용한 원격 뷰어 유포 주의 (2012.3.23)

반응형
국내에서 제작되어 작년(2011년) 여름경부터 다양한 유포 경로를 통해 배포가 이루어지고 있는 파일 다운로더(Downloader) 프로그램을 이용하는 과정에서 다운로드 창에 추가된 제휴(스폰서) 프로그램을 통해 2012년 3월 23일 오후 6시경부터 원격 뷰어 기능을 가진 것으로 추정되는 악성코드가 추가되어 유포되고 있는 것을 확인하였습니다.(※ 문제가 되는 다운로더 프로그램의 이름을 밝히고 싶지만 프로그램 제작자가 명예훼손 신고를 할까봐... )

 

 

문제의 파일 다운로더 프로그램이 추가한 제휴(스폰서) 프로그램이 포함된 업데이트 서버를 확인해보면 일괄 동의 방식으로 설치가 이루어지는 것으로 추정되는 10종의 수익성 프로그램이 배포되고 있는 것을 확인할 수 있습니다.(※ 죄없는(?) 다른 수익성 프로그램의 이름을 밝히는 이유는 이들 프로그램 역시 정상적인 동의 과정을 거쳐서 설치되는 것이 아니라고 판단되므로 모자이크 처리를 하지 않습니다. )

그 중에서 "세모업데이터"로 추가된 악성 파일을 설치할 경우 외부에서 감염된 PC의 화면을 훔쳐보기가 가능한 악성코드를 설치하는 동작을 확인할 수 있습니다.

참고로 해당 설치 파일(MD5 : 4eaef2565179f01824e771e46ba5f94f)에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 3/43) 진단명으로 사전 차단되고 있습니다.

 

 

파일이 실행되면 특정 서버로부터 2종의 파일을 순차적으로 다운로드되는 것을 확인할 수 있으며 세부적인 정보는 다음과 같습니다.
 
  • h**p://top.*****.com/Msalt.exe (MD5 : ec2f0a53cdefc41b92a9a52c922904a0) - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 2/43)

 

 

최초 다운로드되는 Msalt.exe 파일은 서비스에 "MsAlerter(시스템 경고 메세지를 표시합니다)" 항목을 등록하여 시스템 시작시마다 "C:\WINDOWS\system32\Msalt.exe" 파일을 자동 실행되도록 등록을 합니다.

 

  • h**p://top.*****.com/semo.exe (MD5 : 5867e9edcc702450a21eddc859048a7e) - VIPRE : Trojan.Win32.Generic.pak!cobra (VirusTotal : 1/43)

 

 

그 후, 시스템 시작시마다 semo.exe 파일을 다운로드하여 "C:\WINDOWS\system32\semo.exe" 파일을 생성하여, 국내 개인 도메인(pe.kr)을 통해 감염자 PC의 IP 체크, C&C 서버 로그인, 업데이트 체크 동작을 한 후 자가 삭제되도록 구성되어 있습니다.

 

 

이를 통해 감염된 환경에서는 Msalt.exe 프로세스가 메모리에 상주하며, 연결되는 C&C 서버는 일본(Japan)에 위치한 210.175.110.57 서버로 확인이 되고 있습니다.

 

semo.exe

 

시스템 시작시마다 반복적으로 다운로드되는 semo.exe 파일을 확인해보면 특정 베팅 관련 온라인 게임을 노리고 제작된 것으로 추정되며, 감염된 사용자는 외부에서 감염된 PC의 화면을 훔쳐볼 수 있는 것으로 추정되고 있습니다.

 

 

현재 해당 악성코드로 인한 감염자는 1시간당 1,000대 가량으로 파악되고 있으며, 차후 시스템 백신 프로그램의 진단 여부에 따라 업데이트를 통해 파일을 변경할 수 있을 것으로 추정됩니다.

그러므로 감염된 PC의 경우 백신 프로그램을 통해 치료를 할 수 있으며, 수동으로 문제 해결을 위해서는 다음과 같은 절차를 따르시기 바랍니다.

(1) "시작 → 실행" 창에 [sc stop "MsAlerter"] 명령어를 이용하여 서비스를 중지하시기 바랍니다.

 

 

 

(2) 다음의 파일을 찾아서 수동으로 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\a.txt
  • C:\WINDOWS\system32\Msalt.exe
  • C:\WINDOWS\system32\Update.txt

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\Msalt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSALERTER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsAlerter

 

  OracleInstallManager.exe 파일을 이용한 원격 뷰어 유포 주의 (2011.9.13)

  웹하드 설치 파일을 통해 유포되는 한게임 관련 악성코드 유포 주의 (2011.10.13)

해당 악성코드 계열은 과거부터 다양한 유포 방식으로 감염을 유발하여 감염된 좀비PC를 통해 사이버 범죄를 저지르고 있는 것으로 알려져 있습니다.

그러므로 자신의 PC에 설치된 국내에서 제작된 제휴(스폰서) 프로그램을 추가하는 프로그램은 되도록 삭제를 하시고 이용하시는 것이 사용자 몰래 설치되는 악성 파일로부터 PC를 보호하는 방법입니다.

또한 모니터링이 약해지는(?) 주말이 시작되는 금요일 저녁을 틈타 유포가 이루어진다는 점에서 유포 시점을 노린 것이 아닌가 생각됩니다.

728x90
반응형