본문 바로가기

벌새::Analysis

w런쳐(wLauncher) 맵핵 감지기를 이용한 악성코드 유포 주의 (2012.4.25)

어제 네이버(Naver) 블로그를 통해 스타크래프트(StarCraft) w런쳐(wLauncher) 맵핵 감지기 프로그램을 이용한 백도어(Backdoor) 유포 사례를 확인하던 과정에서 또 다른 악성코드 유포가 확인되어 살펴보도록 하겠습니다.

 

  wLauncher 핵감지기를 이용한 백도어(Backdoor) 유포 주의 (2012.4.24)

유포 방식은 기존과 마찬가지로 블로그에 등록된 첨부 파일(zip 압축 파일)을 다운로드하여 압축 파일 내부에 존재하는 실행 파일을 실행할 경우 감염으로 연결이 이루어지고 있습니다.

 

이번 유포건은 4월 19일에 등록된 게시글로 앞서 소개한 유포와는 다른 형태이며, 덧글 역시 정상적인 네이버(Naver) 사용자들로 확인되고 있습니다. 

파일의 모습을 살펴보면 다운로드된 zip 압축 파일 내부에는 wLauncher.exe(MD5 : 42f59964fd4893f4838ecc4db8c84421) 파일이 존재하며, 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Dropper.S.Agent.775675 (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

 

또한 알약(ALYac) 보안 제품에서는 Trojan.Downloader.KorAdware.Gen 진단명으로 추가되었습니다.

 

해당 파일(wLauncher.exe)의 내부에는 서비스에 등록되는 WEBDLS.exe 악성 파일과 w런쳐(wLauncher) 설치 파일이 포함되어 있습니다.

  • WEBDLS.exe (MD5 : 09dca7e93c06f0e7626d9e286009e311) - Hauri ViRobot : Trojan.Win32.S.Downloader.1438208 (VirusTotal : 2/42)
  • wLauncherSetup2.exe (MD5 : 7a31bd55af54a01c5bab9866791529ad) - Hauri ViRobot : Trojan.Win32.S.Agent.261728 (VirusTotal : 1/42) :: w런쳐(wLauncher) 설치 파일

사용자가 다운로드한 압축 파일 내부의 실행 파일을 클릭하면 그림과 같이 wLauncher 설치창이 생성되며, 백그라운드 방식으로 사용자 몰래 다음과 같은 악성 파일을 설치하는 동작을 확인할 수 있습니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Program Files\Common Files\Microsoft Shared\MSORUN\ BLOG

※ 해당 폴더명은 "(공란)BLOG" 형태입니다.

 

C:\Program Files\Common Files\Microsoft Shared\MSORUN\ BLOG\WEBDLS.EXE
 - MD5 : 09dca7e93c06f0e7626d9e286009e311
 - Hauri ViRobot : Trojan.Win32.S.Downloader.1438208 (VirusTotal : 2/42)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

SVCMODULWEB_DOWNLOAD_BLOG
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcModulWeb_Download BLOG

"C:\Program Files\Common Files\Microsoft Shared\MSORUN\ BLOG" 폴더에 생성된 WEBDLS.EXE 파일은 "스포츠 실시간 검색"이라는 속성값을 가지고 있는 것이 특징입니다. 

감염된 환경에서는 서비스에 등록된 "SvcModulWeb_Download BLOG(Update Access Connection BLOG_20120423)" 항목을 이용하여 Windows 시작시 "C:\Program Files\Common Files\Microsoft Shared\MSORUN\ BLOG\WEBDLS.EXE" 파일을 자동으로 실행하도록 구성되어 있습니다.(※ 서비스 등록 일자로 추정컨데 2012년 4월 23일경 제작된 것으로 추정됩니다.)

 

해당 서비스의 설명에서는 "윈도우 자동 업데이트를 관리하고 제어합니다. 이 서비스를 중지하면 업데이트 지원을 사용할 수 없습니다. 이 서비스를 중지하기 전에 [속성] 대화 상자의 [종속성]을 참조하십시오."라고 표기되어 있는 것으로 보아, 윈도우의 정상적인 서비스로 위장하고 있는 것을 확인할 수 있습니다. 

해당 악성코드는 DNSCache 서비스(svchost.exe)를 이용하여 20초 간격으로 국내에 위치한 특정 서버(kdn.ktguide.com / 218.38.137.124)에 쿼리를 전송하며, 중국(China)에 DNS 서버(220.170.79.231)를 두고 있는 특정 org 도메인에서 MBC18.exe 파일을 지속적으로 다운로드 시도하는 동작을 확인할 수 있습니다.(※ 테스트 시점에서는 해당 파일은 다운로드가 정상적으로 이루어지지 않고 있습니다.)

 

참고로 해당 org 도메인은 중국(China)에서 2012년 2월 29일에 등록되어 있는 것으로 확인되고 있습니다.

 

이를 통해 차후 파일 다운로드를 통한 추가적인 감염이 이루어질 수 있는 가능성이 존재하므로, 보안 제품을 통한 정밀 검사 또는 다음의 절차에 따라 수동으로 문제를 해결하시기 바랍니다.

 

(1) 서비스 중지하기 

"시작 → 실행" 창에 [sc stop "SvcModulWeb_Download BLOG"] 명령어를 입력하여 실행 중인 서비스를 중지하시기 바랍니다.

 

(2) 폴더, 파일 삭제 및 레지스트리 삭제하기(※ 게시글 상단의 생성 폴더(파일), 레지스트리 정보를 참고하시기 바랍니다.)

  • C:\Program Files\Common Files\Microsoft Shared\MSORUN\ BLOG
  • C:\Program Files\Common Files\Microsoft Shared\MSORUN\ BLOG\WEBDLS.EXE

레지스트리 편집기(regedit)를 통해 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

SVCMODULWEB_DOWNLOAD_BLOG" 값을 삭제할 경우 "키 삭제 오류" 창이 생성될 경우에는 다음과 같은 방식으로 삭제하시기 바랍니다. 

해당 키 값에 마우스 우클릭을 통해 생성된 메뉴 중 "사용 권한" 항목을 클릭하시기 바랍니다. 

생성된 "LEGACY_SVCMODULWEB_DOWNLOAD_BLOG의 사용 권한" 창에서 "Everyone의 사용 권한" "모든 권한" 항목에 있는 "허용" 버튼에 체크를 하시고 삭제를 시도하시면 정상적으로 삭제가 이루어집니다.

 

이번 유포 사례의 경우 실제 추가적으로 다운로드되는 MBC18.exe 파일이 확인되지 않아서 어떤 악의적인 동작으로 연결되는지는 알 수 없지만, 파일명으로 보아 상당히 악의성이 존재하며 차후 유포자의 의도에 따라 감염이 연결될 수 있으므로 주의하시기 바랍니다.

 

또한 블로그 첨부 파일은 신뢰할 수 없는 파일이라는 기본적인 인터넷 습관을 가지시고 함부로 실행하지 않도록 주의하시기 바랍니다.

  • 환희 2012.05.06 02:08 댓글주소 수정/삭제 댓글쓰기

    W런쳐는 非한글 운영체제에서는
    작동이 되지 않아서

    스타크래프트를 즐겨하는 저는 미니런쳐라는
    런쳐를 따로 쓰고 있지요.

    W런쳐는 광고도 없고
    핵 감지 능력도 뛰어나서

    스타크래프트 유저들에게 많은 호응을
    받고 있는것으로 알고있습니다.

    이런 프로그램을 무료로 광고도 없이
    배포하시는 프로그래머님은 참
    볻받으실듯..