본문 바로가기

벌새::Analysis

wLauncher 핵감지기를 이용한 백도어(Backdoor) 유포 주의 (2012.4.24)

반응형

최근 네이버(Naver) 블로그를 이용하여 스타크래프트(StarCraft) 핵감지기 wLauncher 프로그램을 이용하여 백도어(Backdoor)를 설치하는 행위가 발견되었으므로 주의가 요구됩니다.

 

특히 해당 유포자는 2012년 4월 23일~24일에 걸쳐 수십개의 네이버(Naver) 아이디를 동원하여 유포에 활용하는 것으로 추정되고 있습니다. 

유포 방식을 살펴보면 그림과 같이 wLauncher 핵감지기 프로그램 설치 파일을 첨부 파일로 등록하고 있으며, 게시글에서는 프로그램 설치 방식을 스샷을 통해 친절하게 안내를 하고 있습니다. 

특히 유포에 사용되는 게시글의 특징은 상당수의 덧글과 공감이 등록되어 있지만, 등록된 네이버(Naver) 아이디 패턴(영문+4자리 숫자)이 동일한 것으로 보아, 유포자에 의해 작성된 덧글로 추정되고 있습니다. 

블로그에 등록된 첨부 파일(wLauncherSetup.exe)을 다운로드하여 사용자가 실행을 할 경우, "wLauncherSetup2 다운로드 완료" 메시지가 생성되면서 백그라운드 방식으로 악성 dll 파일이 자동으로 시스템 폴더에 생성되며 감염이 이루어집니다.

 

참고로 블로그 첨부 파일(wLauncherSetup.exe / MD5 : add8c8ead32926d8a648d6d688a7284a)에 대하여 Hauri ViRobot 보안 제품에서는 Dropper.S.Agent.595456 (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.

 

또한 첨부 파일이 위치한 폴더에는 wLauncher 핵감지기 설치 파일(wLauncherSetup2.exe)이 생성되어 사용자 눈을 속이고 있습니다. 

이를 통해 사용자 입장에서는 추가로 생성된 wLauncher 핵감지기 설치 파일(wLauncherSetup2.exe)을 실행할 경우, 그림과 같이 정상적으로 설치 화면이 생성되므로 감염 사실을 인지하지 못하게 됩니다. 

블로그 첨부 파일을 살펴보면 DLL 리소스 영역에 악성 dll 파일과 wLauncher 핵감지기 프로그램이 존재하는 것을 확인할 수 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\apztoqx.dll
 - MD5 : 86e1cda0681793cf8dd08e2c9d9cc729
 - Hauri ViRobot : Backdoor.Win32.S.Agent.132608.O (VirusTotal : 1/42)

※ 해당 파일은 (7자리 영문).dll 형태입니다.

 

[생성 / 변경 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EAPHOST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost
 - Start = 3 :: 감염 전
 - Start = 2 :: 감염 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost\Parameters
 - ServiceDll = %SystemRoot%\System32\eapsvc.dll :: 감염 전
 - ServiceDll = C:\WINDOWS\system32\(7자리 영문).dll :: 감염 후

"감염 후" 값은 "감염 전" 값으로 수정하시기 바랍니다.

 

감염된 PC 환경에서는 시스템 폴더 내부에 랜덤(Random)한 (7자리 영문).dll 파일을 생성하며, 해당 파일은 기본적으로 다음과 같은 악의적인 동작을 합니다. 

서비스(svchost.exe)에 "EapHost(Extensible Authentication Protocol Service)" 항목을 등록하여 Windows 시작시 자동으로 실행하여 일본(Japan)에 위치한 특정 서버(219.101.160.70:7003)와 연결을 시도합니다. 

연결된 환경에서는 감염된 PC의 컴퓨터 이름, OS 정보를 수집하여 외부로 전송하는 동작을 확인할 수 있으며 지속적으로 연결을 유지하고 있습니다.

 

이를 통해 차후 공격자의 명령에 따라 추가적인 악의적 동작이 예상되므로 백신 프로그램을 통한 정밀 검사 또는 다음의 절차에 따라 수동으로 문제를 해결하시기 바랍니다.

 

(1) 서비스 중지 시키기 

"시작 → 실행" 창에 [sc stop "EapHost"] 명령어를 입력하여 시스템 시작시 자동 실행된 악성 서비스를 중지하시기 바랍니다.

 

(2) 랜덤(Random)한 (7자리 영문).dll 파일 찾아 삭제하기 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EapHost\Parameters

감염시마다 랜덤(Random)한 파일명을 가지는 악성 dll 파일 이름은 해당 레지스트리 값에 등록된 "ServiceDll" 값을 참조하여 시스템 폴더에 파일(C:\WINDOWS\system\(7자리 영문).dll)을 찾아 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 생성 및 감염으로 변경된 레지스트리 값을 찾아 삭제 및 수정하기("생성 / 변경 레지스트리 등록 정보" 내용을 참고하시기 바랍니다.) 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EAPHOST

레지스트리 삭제 중 "키 삭제 오류"가 발생하는 경우에는 다음과 같은 절차에 따라 레지스트리 값을 삭제하시기 바랍니다. 

삭제가 되지 않는 키 값에 마우스 우클릭을 하여 생성된 메뉴 중 "사용 권한"을 클릭하시기 바랍니다. 

생성된 "LEGACY_EAPHOST의 사용 권한" 창에서 "Everyone의 사용 권한 → 모든 권한" 항목의 "허용"에 체크를 하시고 "확인" 버튼을 클릭한 후, 삭제되지 않는 키 값을 삭제하시면 정상적으로 삭제가 이루어집니다.

 

마지막으로 모든 절차가 완료된 후에는 백신 프로그램을 이용하여 정밀 검사를 추가적으로 하시길 권장하며, 이번 사례와 같이 블로그와 같이 신뢰할 수 없는 게시글에 등록된 첨부 파일은 감염으로 연결될 수 있으므로 매우 주의하시기 바랍니다.

728x90
반응형