본문 바로가기

벌새::Analysis

Windows Audio device 파일로 위장한 악성코드 유포 주의 (2012.4.13)

2012년 4월 12일 오후경부터 국내 공개 자료실 형태로 운영되는 특정 서버에 등록된 제휴(스폰서) 프로그램을 통해 백도어(Backdoor)가 유포되는 것을 확인하였습니다.

 

해당 파일의 유포 방식은 다양한 유포 경로(블로그 첨부 파일, 광고 프로그램)를 통해 정상적인 프로그램 다운로드 과정에서 제휴(스폰서) 프로그램으로 추가된 형태로 배포가 이루어질 수 있을 것으로 보입니다. 

현재 확인된 유포 서버에 등록된 부분을 살펴보면 "상단 검색 winhelp"라는 이름의 광고성 프로그램으로 등록되어 있으며, 미국(USA)에 위치한 특정 서버로부터 파일을 다운로드하여 설치가 이루어집니다.

 

참고로 다운로드되는 최초 설치 파일(MD5 : c8ad1273a57f806c7984abc7ba3131ca)에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 2/42) 진단명으로 사전 차단되고 있으며, 알약(ALYac) 보안 제품에서는 Trojan.Downloader.KorAdware.Eon 진단명으로 진단되고 있습니다. 

  • h**p://54.***.124.**/win_help.exe (MD5 : 52df31e952868ac64b1376cc69abe86b) - Microsoft : Backdoor:Win32/Blohi.gen!B (VirusTotal : 6/42)

파일이 실행되면 동일한 미국(USA) 서버로부터 파일을 다운로드하여 "C:\win_help.exe" 파일로 생성하며, 해당 파일은 "왕큰치킨" 아이콘 모양과 "Windows Audio device" 속성값을 가지고 있는 것이 특징입니다.

  • h**p://***.spt**.com/MSWINSCK.OCX
  • h**p://***.eo**.co.kr/kmp.exe (MD5 : 489ad1db4c99cce9f8206604c69e4e00) - nProtect : Trojan/W32.Scar.393391 (VirusTotal : 14/42)
  • h**p://*.eo**.co.kr/zlib.dll

win_help.exe 파일은 일본(Japan)에 위치한 특정 서버로부터 kmp.exe 파일을 추가로 다운로드하여 "C:\Program Files\Outlook Express\svcintro.exe" 파일로 자가 복제 생성합니다.(※ 생성 폴더명은 임의의 마이크로소프트(Microsoft) 관련 폴더(예, C:\Program Files\Internet Explorer, C:\Program Files\microsoft frontpage, C:\Program Files\MSN Gaming Zone, C:\Program Files\Windows Media Player 등) 내에 생성됩니다.)

 

또한 추가적으로 또 다른 마이크로소프트(Microsoft) 관련 폴더 내부에 "C:\Program Files\Windows Media Player\audiodg_external.exe" 파일을 생성하는 것을 확인할 수 있으며, 생성된 파일 모두는 Windows Audio device 속성값을 가지고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Program Files\Outlook Express\svcintro.exe
 - MD5 : 489ad1db4c99cce9f8206604c69e4e00
 - nProtect : Trojan/W32.Scar.393391 (VirusTotal : 14/42)

 

C:\Program Files\Outlook Express\zlib.dll

 

C:\Program Files\Windows Media Player\audiodg_external.exe
 - MD5 : 27cd3315140665105a1e48dbba31e7e8
 - Dr.Web : Trojan.DownLoader6.980 (VirusTotal : 12/42)

 

C:\Program Files\Windows Media Player\MSWINSCK.OCX
C:\Program Files\Windows Media Player\zlib.dll
C:\WINDOWS\system32\MSWINSCK.OCX

 

※ 프로그램 폴더(C:\Program Files\) 내의 폴더는 마이크로소프트(Microsoft) 업체와 관련된 폴더 내에 파일을 생성하여 사용자의 눈을 속이고 있는 것이 특징입니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - audiodg_external = C:\Program Files\Windows Media Player\audiodg_external.exe
 - svcintro = C:\Program Files\Outlook Express\svcintro.exe 

 

감염된 환경에서는 audiodg_external.exe, svcintro.exe 2개의 파일을 시작 프로그램으로 등록하여 Windows 시작시 자동으로 실행되며, 각 파일은 다음과 같은 동작을 확인할 수 있습니다.

 

1. audiodg_external.exe 

audiodg_external.exe 파일은 일본(Japan)에 위치한 특정 서버에 쿼리를 전송하며, 네이버 지도(map.naver.com)를 참조하는 동작을 하는 것이 특징입니다. 

또한 일본에 위치한 서버(spt**.com(210.175.110.36:3000))로 사용자 PC 정보(OS, 메모리, PC 이름, 사용자 계정명, 국가, 언어, 서비스 팩, 버전)를 수집하여 전송하는 동작도 확인할 수 있습니다.

 

2. svcintro.exe 

svcintro.exe 파일은 주기적으로 일본(Japan)에 위치한 "*.eo**.co.kr(27.125.205.60:8000)" 서버에 연결을 시도하는 동작을 하고 있는 것을 확인할 수 있습니다. 

이렇게 감염되는 악성 파일은 감염시마다 임의의 마이크로소프트(Microsoft)사 제품이 생성한 폴더 내에 파일을 생성하여 사용자의 눈을 속이고 있는 것이 특징입니다. 

수동으로 감염 여부를 체크하는 방법은 Process Explorer 툴을 이용하여 audiodg_external.exe, svcintro.exe 프로세스가 상주해 있는지 확인하시기 바라며, 해당 파일의 경로를 체크하여 파일을 삭제하시기 바랍니다.

 

해당 악성코드에 감염된 경우 외부와 지속적으로 연결이 이루어지며, 차후 사이버 범죄자의 의도에 따라 좀비PC로 이용되어 정보 유출(특히 온라인 게임 관련) 등의 금전적 피해가 발생할 수 있습니다.

 

마지막으로 이번 유포 역시 이용약관이 제시되는 광고 프로그램의 제휴(스폰서) 프로그램을 통해 유포가 이루어지고 있으므로, 프로그램 설치시 추가되는 광고성 프로그램이 존재한지 여부를 꼭 확인하여 설치되지 않도록 주의하시기 바랍니다.