본문 바로가기

벌새::Analysis

Windows Audio device 파일로 위장한 악성코드 유포 주의 <2> (2012.4.15)

최근 국내 공개형 자료실에서 제공하는 제휴(스폰서) 프로그램을 통해 유포되는 Windows Audio device 파일로 위장한 백도어(Backdoor) 유포가 새로운 공개형 자료실을 통해 변형된 방식으로 전파되는 것을 추가로 확인하였습니다.

 

  Windows Audio device 파일로 위장한 악성코드 유포 주의 (2012.4.13)

이번 유포 역시 검색 도우미로 위장한 파일로 사용자를 속여 배포가 이루어지고 있으며, 기존 유포에서 사용되던 미국(USA)에 위치한 특정 서버로부터 다운로드가 진행됩니다.

 

참고로 해당 파일(MD5 : e21be812bcca0ed6b04cca042969bb05)에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 3/42) 진단명으로 사전 차단되고 있습니다. 

  • h**p://54.***.127.***/win_help.exe (MD5 : aac3197e749ef7214103c5898e1d4a5d) - BitDefender : Gen:Variant.Graftor.20116 (VirusTotal : 7/42)

설치 파일은 이전 유포에서 사용된 IP에서 약간 변경이 되어 있으며, 추가로 다운로드된 win_help.exe 파일을 "C:\win_help.exe" 파일로 생성하여 다음과 같은 동작을 하도록 구성되어 있습니다.

  • h**p://www.spt**.com/MSWINSCK.OCX
  • h**p://www.eo**.co.kr/kmp.exe (MD5 : 489ad1db4c99cce9f8206604c69e4e00) - Hauri ViRobot : Backdoor.Win32.S.Agent.393391 (VirusTotal : 22/42)
  • h**p://*.eo**.co.kr/zlib.dll

① win_help.exe 파일은 "C:\Program Files\Reference Assemblies", "C:\WINDOWS\system32\MSWINSCK.OCX" 폴더 내부에 파일을 생성하며 ② "C:\Program Files\Reference Assemblies\cake.exe" 파일(MD5 : 489ad1db4c99cce9f8206604c69e4e00)을 추가로 생성하여 "C:\Program Files\ComPlus Applications\svcintro.exe" 파일을 추가로 생성한 후 cake.exe 파일은 자가 삭제됩니다.

 

참고로 파일이 생성되는 폴더는 프로그램 폴더(%ProgramFiles%) 내부에 존재하는 정상적인 소프트웨어 폴더에 랜덤(Random)하게 생성됩니다.(예 : C:\Program Files\Opencapture, C:\Program Files\Java, C:\Program Files\VMware, C:\Program Files\xerox)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\ComPlus Applications\svcintro.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
 - MD5 : 489ad1db4c99cce9f8206604c69e4e00
 - Hauri ViRobot : Backdoor.Win32.S.Agent.393391 (VirusTotal : 22/42)

 

C:\Program Files\ComPlus Applications\zlib.dll

C:\Program Files\Reference Assemblies\MSWINSCK.OCX


C:\Program Files\Reference Assemblies\sptbt_sp3.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
 - MD5 : aac3197e749ef7214103c5898e1d4a5d
 - Microsoft : Backdoor:Win32/Blohi.gen!B (VirusTotal : 12/42)

 

C:\Program Files\Reference Assemblies\zlib.dll
C:\WINDOWS\system32\MSWINSCK.OCX

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sptbt_sp3 = C:\Program Files\Reference Assemblies\sptbt_sp3.exe
 - svcintro = C:\Program Files\ComPlus Applications\svcintro.exe 

 

해당 악성코드는 Windows 시작시 sptbt_sp3.exe, svcintro.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

해당 생성 파일을 확인해보면 기존과 마찬가지로 "Windows Audio device" 속성값을 가지고 있는 것이 특징입니다. 

생성된 파일은 공통적으로 Base64 암호화를 통해 네이버 지도(map.naver.com)를 참조하는 부분과 일본(Japan)에 위치한 특정 서버로부터 kmp.exe 악성 파일을 다운로드하는 기능이 포함되어 있는 것을 확인할 수 있습니다. 

자동 실행된 sptbt_sp3.exe (***.spt**.com(210.175.110.36:3000)), svcintro.exe (*.eo**.co.kr(27.125.205.60:8000)) 파일은 일본(Japan)에 위치한 특정 C&C 서버와 연결을 지속적으로 유지하는 동작을 확인할 수 있습니다.

 

그러므로 감염된 사용자는 백신 프로그램을 이용한 정밀 검사 또는 Process Explorer 도구를 이용하여 sptbt_sp3.exe, svcintro.exe 2개의 프로세스 파일 경로를 확인한 후 프로세스 종료 후 파일을 찾아 삭제하시기 바랍니다.

 

해당 악성코드의 목적은 감염된 좀비PC를 이용하여 원격 제어를 통한 추가적인 악성 파일 다운로드, 화면 엿보기 등을 통한 민감한 정보를 수집할 수 있습니다.

 

그러므로 인터넷 상에서 파일을 다운로드하여 설치시 추가적으로 설치되는 스폰서(제휴) 프로그램 중에서는 악의적 목적으로 배포되는 파일이 포함될 수 있으므로 블로그에 등록된 첨부 파일 또는 링크 파일, 신뢰할 수 없는 공개 자료실에서 제공하는 파일은 절대로 다운로드하여 실행하지 않도록 주의하시기 바랍니다.