본문 바로가기

벌새::Analysis

wLauncher 핵감지기를 이용한 백도어(Backdoor) 유포 주의 (2012.4.24)

최근 네이버(Naver) 블로그를 이용하여 스타크래프트(StarCraft) 핵감지기 wLauncher 프로그램을 이용하여 백도어(Backdoor)를 설치하는 행위가 발견되었으므로 주의가 요구됩니다.

 

특히 해당 유포자는 2012년 4월 23일~24일에 걸쳐 수십개의 네이버(Naver) 아이디를 동원하여 유포에 활용하는 것으로 추정되고 있습니다. 

유포 방식을 살펴보면 그림과 같이 wLauncher 핵감지기 프로그램 설치 파일을 첨부 파일로 등록하고 있으며, 게시글에서는 프로그램 설치 방식을 스샷을 통해 친절하게 안내를 하고 있습니다. 

특히 유포에 사용되는 게시글의 특징은 상당수의 덧글과 공감이 등록되어 있지만, 등록된 네이버(Naver) 아이디 패턴(영문+4자리 숫자)이 동일한 것으로 보아, 유포자에 의해 작성된 덧글로 추정되고 있습니다. 

블로그에 등록된 첨부 파일(wLauncherSetup.exe)을 다운로드하여 사용자가 실행을 할 경우, "wLauncherSetup2 다운로드 완료" 메시지가 생성되면서 백그라운드 방식으로 악성 dll 파일이 자동으로 시스템 폴더에 생성되며 감염이 이루어집니다.

 

참고로 블로그 첨부 파일(wLauncherSetup.exe / MD5 : add8c8ead32926d8a648d6d688a7284a)에 대하여 Hauri ViRobot 보안 제품에서는 Dropper.S.Agent.595456 (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.

 

또한 첨부 파일이 위치한 폴더에는 wLauncher 핵감지기 설치 파일(wLauncherSetup2.exe)이 생성되어 사용자 눈을 속이고 있습니다. 

이를 통해 사용자 입장에서는 추가로 생성된 wLauncher 핵감지기 설치 파일(wLauncherSetup2.exe)을 실행할 경우, 그림과 같이 정상적으로 설치 화면이 생성되므로 감염 사실을 인지하지 못하게 됩니다. 

블로그 첨부 파일을 살펴보면 DLL 리소스 영역에 악성 dll 파일과 wLauncher 핵감지기 프로그램이 존재하는 것을 확인할 수 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\apztoqx.dll
 - MD5 : 86e1cda0681793cf8dd08e2c9d9cc729
 - Hauri ViRobot : Backdoor.Win32.S.Agent.132608.O (VirusTotal : 1/42)

※ 해당 파일은 (7자리 영문).dll 형태입니다.

 

[생성 / 변경 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EAPHOST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost
 - Start = 3 :: 감염 전
 - Start = 2 :: 감염 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost\Parameters
 - ServiceDll = %SystemRoot%\System32\eapsvc.dll :: 감염 전
 - ServiceDll = C:\WINDOWS\system32\(7자리 영문).dll :: 감염 후

"감염 후" 값은 "감염 전" 값으로 수정하시기 바랍니다.

 

감염된 PC 환경에서는 시스템 폴더 내부에 랜덤(Random)한 (7자리 영문).dll 파일을 생성하며, 해당 파일은 기본적으로 다음과 같은 악의적인 동작을 합니다. 

서비스(svchost.exe)에 "EapHost(Extensible Authentication Protocol Service)" 항목을 등록하여 Windows 시작시 자동으로 실행하여 일본(Japan)에 위치한 특정 서버(219.101.160.70:7003)와 연결을 시도합니다. 

연결된 환경에서는 감염된 PC의 컴퓨터 이름, OS 정보를 수집하여 외부로 전송하는 동작을 확인할 수 있으며 지속적으로 연결을 유지하고 있습니다.

 

이를 통해 차후 공격자의 명령에 따라 추가적인 악의적 동작이 예상되므로 백신 프로그램을 통한 정밀 검사 또는 다음의 절차에 따라 수동으로 문제를 해결하시기 바랍니다.

 

(1) 서비스 중지 시키기 

"시작 → 실행" 창에 [sc stop "EapHost"] 명령어를 입력하여 시스템 시작시 자동 실행된 악성 서비스를 중지하시기 바랍니다.

 

(2) 랜덤(Random)한 (7자리 영문).dll 파일 찾아 삭제하기 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost\Parameters

감염시마다 랜덤(Random)한 파일명을 가지는 악성 dll 파일 이름은 해당 레지스트리 값에 등록된 "ServiceDll" 값을 참조하여 시스템 폴더에 파일(C:\WINDOWS\system\(7자리 영문).dll)을 찾아 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 생성 및 감염으로 변경된 레지스트리 값을 찾아 삭제 및 수정하기("생성 / 변경 레지스트리 등록 정보" 내용을 참고하시기 바랍니다.) 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EAPHOST

레지스트리 삭제 중 "키 삭제 오류"가 발생하는 경우에는 다음과 같은 절차에 따라 레지스트리 값을 삭제하시기 바랍니다. 

삭제가 되지 않는 키 값에 마우스 우클릭을 하여 생성된 메뉴 중 "사용 권한"을 클릭하시기 바랍니다. 

생성된 "LEGACY_EAPHOST의 사용 권한" 창에서 "Everyone의 사용 권한 → 모든 권한" 항목의 "허용"에 체크를 하시고 "확인" 버튼을 클릭한 후, 삭제되지 않는 키 값을 삭제하시면 정상적으로 삭제가 이루어집니다.

 

마지막으로 모든 절차가 완료된 후에는 백신 프로그램을 이용하여 정밀 검사를 추가적으로 하시길 권장하며, 이번 사례와 같이 블로그와 같이 신뢰할 수 없는 게시글에 등록된 첨부 파일은 감염으로 연결될 수 있으므로 매우 주의하시기 바랍니다.

  • 옜날 부터 예상하고 있었지만 그것이 사실이었다니..
    뒤통수를 맞은 기분이네요..
    어느날 부터 첨부파일에 쿡파일 등의 사이트로 연결된 SetUp 파일이 나뒹굴면서
    사용자를 귀찮게 했는데... 이걸 써서 다른 사람이 다운받게 하면 파일을 올린 사람에게 뭔가 이득이 가는건가요??

    스타크래프트 바이러스 관련 글 하나 더 트랙백 하고 갑니다.
    좋은 정보 감사합니다.

    • 글 작성하신 것을 보니 아마 해당 파일은 포터블 버전이 아니었을까 싶습니다.

      단순히 압축 해제를 통해 바로 실행할 수 있게 제작한 것들이죠.

      http://hummingbird.tistory.com/2652

      저도 예전에도 한 번 비슷한 사례가 있었는데, 사용자들이 많이 찾는 프로그램을 이용하여 설치 파일을 조작하여 추가적인 악성 파일을 설치하려는 행위는 심심찮게 발견되고 있습니다.

      불법 프로그램을 사용하는 댓가가 아닐까 싶습니다.

      좋은 밤 되세요.^^

  • !!!! 2013.01.09 01:47 댓글주소 수정/삭제 댓글쓰기

    저기 이 댓글 보실지는 모르겠지만 보셨다면 꼭 도와주세요..
    1번 방법에서 확인버튼을 눌러도 창이 뜨려다가 바로 사라지네요...
    2번 방법에서 ServiceDll의 위치가 %SystemRoot%\System32\eapsvc.dll 이라고 뜨는데요, 컴퓨터에서 도저히 찾을 수가 없네요.. systemroot을 어떻게 찾아야할지.. 내컴퓨터에서 eapsvc.dll 검색해도 나오지 않고 그냥 eaphost 검색하면 몇년전에 수정됐다고 나오는 파일이나 폴더가 나오긴하는데 이건 윈도우7에 원래 있던건지 아니면 이것도 악성코드인지도 헷갈리네요.
    3번 방법에서 삭제가 안되서 사용권한을 바꾸려해도 액세스를 거부한다네요.....
    시스템 복원해도 작업관리자 실행해서 서비스 항목 보니깐 eaphost가 아직도 실행중이고 중지시키려니까 또 거부되고.....

    • 악성 파일이 모두 동일하지는 않습니다.

      이 내용은 확인된 특정 사례를 중심으로 소개한 내용이므로 감염된 악성 파일에 따라서는 정보가 많이 다를 수 있으므로, 수동으로 처리할 능력이 안되시면 백신 프로그램으로 해결하시는 것이 좋습니다.

      그리고 XP 환경과는 다르게 윈도우 7 환경에서는 시스템 구조가 많이 변경되어 관리자 권한으로 실행해야 하는 부분이 있으며, 시스템 파일을 함부로 수정 못하게 되어 있습니다.