본문 바로가기

벌새::Analysis

패스트핑(FastPing) 프로그램 설치시 NHN 파일로 위장한 악성코드 감염 주의 (2012.4.29)

최근 네이버(Naver) 블로그에 게시된 패스트핑(FastPing) 프로그램을 다운로드하여 실행시 사용자 몰래 루트킷(Rootkit) 계열의 악성코드를 설치하는 사례를 확인하였으므로 주의하시기 바랍니다.

 

특히 해당 파일은 네이버(Naver) 업체의 NHN 파일 속성값을 가지고 있으며, 중국 계열에서 제작된 툴을 이용한 국내인의 소행으로 추정됩니다. 

해당 악성코드는 2012년 4월 27일경에 네이버(Naver) 블로그에 등록되어 있으며, 링크를 통해 다운로드되는 파일은 네이버 블로그 첨부 파일로 확인되고 있습니다. 

다운로드된 패스트핑(FastPing) 설치 파일은 정상적인 파일과 비교하여 디지털 인증서가 존재하지 않는 것이 특징입니다.

 

참고로 해당 블로그 첨부 파일(MD5 : 55676fc82428e19a2bebdfc3a94cbceb)에 대하여 Kaspersky 보안 제품에서는 Trojan-Dropper.Win32.Demp.cbn (VirusTotal : 11/41) 진단명으로 진단되고 있습니다.

 

해당 첨부 파일 내부에는 정상적인 패스트핑(FastPing) 설치 파일(fastpingsetup.exe)과 악의적 목적으로 제작된 ST_BBBBB_28.exe 파일이 포함되어 있습니다. 

패스트핑(FastPing) 설치 파일 : fastpingsetup.exe

패스트핑(FastPing) 설치 파일(MD5 : b7b81fd04deb435ae6ace2cefa1ef280)에 포함된 디지털 인증서를 확인해보면 인증서 유효 기간이 만료된 것으로 표시되고 있습니다. 

또한 추가적으로 ST_BBBBB_28.exe(MD5 : d8345326daa5090499c53c2dc86165bc) 악성 파일을 포함하고 있으며, 해당 파일은 "NHN Corporation DirectRealInstall" 이라는 속성값을 가지고 있습니다.

 

참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.630750 (VirusTotal : 6/42) 진단명으로 진단되고 있습니다. 

블로그를 통해 다운로드한 파일을 사용자가 실행할 경우 화면 상에서는 그림과 같이 패스트핑(FastPing) 설치 화면이 생성되며, 백그라운드 방식으로 사용자 몰래 악성 파일을 설치하는 동작이 이루어지며 전체적인 감염 과정은 다음과 같습니다.

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\fastpingsetup.exe :: 패스트핑(FastPing) 설치 파일
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ST_BBBBB_28.exe (MD5 : d8345326daa5090499c53c2dc86165bc) - Hauri ViRobot : Adware.Agent.630750 (VirusTotal : 6/42)

임시 폴더에 생성된 ST_BBBBB_28.exe 파일은 국내 특정 서버에서 다음과 같은 다운로드를 진행합니다. 

  • h**p://chlrhd******.kr/bbbbb_28.exe (MD5 : fe94eb8dada950a663d20abfe3390fe9) - AhnLab V3 : Trojan/Win32.Gen (VirusTotal : 11/42)

다운로드된 bbbbb_28.exe 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\pbhmcv.exe" 파일로 생성(복제)하여, 자신을 Wintext_BBBBB.txt 파일명으로 이름을 변경하고 다음과 같은 파일을 1차적으로 생성합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\sysLoad :: 파일 크기(0 Byte), 숨김(H)+시스템(S) 속성

 

C:\Program Files\MSDN


C:\Program Files\MSDN\000000000 :: (= services.exe), 자가 삭제
 - MD5 : ee1ddb15344606ddaefd1d4ffdb36388
 - Kaspersky : Trojan-Dropper.Win32.Daws.aptg (VirusTotal : 11/42)

 

C:\Program Files\MSDN\PciDisk.sys :: 자가 삭제
 - MD5 : 5ebaf41ab60a8b7c76a6646bfd6715e2
 - Microsoft : TrojanDownloader:Win32/Perkesh.gen!A (VirusTotal : 8/42)

 

C:\Program Files\MSDN\services.exe
 - MD5 : ee1ddb15344606ddaefd1d4ffdb36388
 - Kaspersky : Trojan-Dropper.Win32.Daws.aptg (VirusTotal : 11/42)

 

C:\WINDOWS\system32\drivers\SoftDaemo.sys
 - MD5 : 817a816ca028d008ed83405a4fa2fd32
 - BitDefender : Trojan.Dropper.RSS (VirusTotal : 7/42)

 

해당 악성코드는 "C:\Program Files\MSDN" 폴더에 파일을 생성하여, "C:\Program Files\MSDN\services.exe" 파일 생성 및 "C:\WINDOWS\system32\drivers\SoftDaemo.sys" 드라이버를 생성한 후, 일부 파일(000000000, PciDisk.sys)은 자가 삭제 처리가 이루어집니다. 

C:\Program Files\MSDN\PciDisk.sys

PciDisk.sys 파일의 기능을 잠시 살펴보면 시스템 폴더에 존재하는 "C:\WINDOWS\system32\userinit.exe" 파일(Userinit Logon Application)을 수정(패치)하는 것으로 추정되며, 해당 동작은 사용자가 시스템 재부팅을 진행하는 경우 이루어집니다.

 

그 후 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\t.bat" 파일을 생성하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ST_BBBBB_28.exe" 파일을 삭제 처리하여 흔적을 제거하고 자신(t.bat)도 삭제 처리가 이루어집니다. 

생성된 services.exe 파일은 "NHN Corporation Download" 파일 속성값을 가지며, 다음과 같이 메모리에 상주하여 추가적인 다운로드 및 사용자 PC 정보 체크를 하는 것으로 보입니다. 

  • h**p://180.210.63.12:60030/n.txt :: 암호화
  • h**p://chlrhd******.kr/bbbbb_28.exe (MD5 : fe94eb8dada950a663d20abfe3390fe9) - AhnLab V3 : Trojan/Win32.Gen (VirusTotal : 11/42)

국내 특정 서버(180.210.63.12:60030)에 전송되는 체크되는 카운터(Counter)에서는 사용자 Mac Address, IE 웹 브라우저 버전, OS 버전, 안티 바이러스(Anti-Virus) 제품 체크 등을 하는 것으로 추정됩니다. 

참고로 카운터(Counter) 정보를 수집하는 서버는 중국어로 제작되어 있는 것으로 보아 중국 툴 또는 제작자가 중국 계열이 아닌가 의심되지만, 서버가 국내에 위치한다는 점과 추가적인 서버가 금전적 목적의 한국어로 되어 있다는 점에서 국내인이 운영하는 것으로 추정됩니다.(※ 상상은 자유)

 

다시 다운로드된 bbbbb_28.exe 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\pbhmcv.exe" 파일로 생성(복제)된 후, 다음과 같은 폴더와 파일을 추가로 생성합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\selfok :: 자가 삭제

 

C:\Program Files\MSDN\LHL13.sys :: (= SoftDaemo.sys)
 - MD5 : 817a816ca028d008ed83405a4fa2fd32
 - BitDefender : Trojan.Dropper.RSS (VirusTotal : 7/42)

 

이렇게 감염된 상태에서 사용자가 시스템 재부팅을 진행하면 추가적으로 다음과 같은 동작을 확인할 수 있습니다. 

시스템 재부팅 이후에는 앞서 PciDisk.sys 악성 파일에 의해 패치가 된 "C:\WINDOWS\system32\userinit.exe" 악성 시스템 파일이 시스템 시작시 자동으로 실행되며, 다음과 같은 외부 연결을 시도합니다.

 

참고로 패치된 userinit.exe (MD5 : 3fc810424f82ba406b8c073a5cdb0542)은 NHN에서 제작한 Download 파일 속성값으로 위장하고 있으며, Microsoft 보안 제품에서는 Trojan:Win32/Ghodow.A (VirusTotal : 6/42) 진단명으로 진단됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe,

또한 userinit.exe 파일은 원래 윈도우 기본값으로 winlogon.exe 시스템 파일을 통해 시스템 시작시 자동으로 실행되는 정상적인 값입니다. 

  • h**p://chlrhd******.kr/bbbbb_28.exe (MD5 : fe94eb8dada950a663d20abfe3390fe9) - AhnLab V3 : Trojan/Win32.Gen (VirusTotal : 11/42)

자동 실행된 userinit.exe 파일은 이전과 마찬가지로 국내 특정 서버로부터 bbbbb_28.exe 파일을 다운로드하여 "C:\WINDOWS\system32\drivers\SoftDaemo.sys" 악성 드라이버 파일을 매번 교체합니다. 

또한 userinit.exe 악성 시스템 파일은 시스템 시작시마다 SoftDaemo.sys 파일을 로딩하여 해외 유명 백신 프로그램(Kaspersky, Dr.Web, ESET NOD32 등) 무력화를 시도하는 AVKiller 기능을 포함하고 있는 것을 확인할 수 있습니다.

 

현재까지 확인된 정보는 여기까지이며 이를 통해 유추해보면 해당 악성코드는 감염으로 인하여 시스템 시작시마다 유명 백신 프로그램의 기능을 방해하며 매번 특정 서버에 연결하여 파일을 받아오는 악의적인 기능을 합니다.

 

이를 통해 유포자는 사용자 몰래 추가적인 악성 파일 설치를 통해 민감한 정보 수집 등 악의적인 동작을 통해 금전적 피해를 유발할 수 있습니다.

 

그러므로 백신 프로그램을 통해 치료에 문제가 있는 분들은 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다. 

참고로 수동으로 파일을 찾으실 때에는 반드시 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 항목 체크 해제, "숨김 파일 및 폴더 표시" 항목 체크를 하시고 진행하시기 바랍니다.

 

(1) 다음의 파일 확장자를 변경하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\Wintext_BBBBB.txt → Wintext_BBBBB.txt-malware
  • C:\WINDOWS\system32\userinit.exe → userinit.exe-malware

"C:\WINDOWS\system32\userinit.exe" 악성 시스템 파일의 확장자명을 변경한 경우, 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 userinit.exe 파일이 복원되므로 윈도우 탐색기를 종료하고 재실행하여 해당 파일이 복원되었는지 반드시 체크하시기 바랍니다.

 

(2) 다음의 폴더와 파일을 찾아 삭제하시기 바랍니다.

 

  • C:\sysLoad
  • C:\Program Files\MSDN
  • C:\Program Files\MSDN\LHL13.sys
  • C:\Program Files\MSDN\services.exe
  • C:\WINDOWS\system32\drivers\SoftDaemo.sys

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCIDEVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOFTDAEMO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PciDevice
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoftDaemo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCIDEVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOFTDAEMO

레지스트리 삭제 중 "LEGACY_PCIDEVICE", "LEGACY_SOFTDAEMO" 값에서 "키 삭제 오류"가 발생하는 경우에는 다음과 같은 절차에 따라 삭제하시기 바랍니다. 

삭제되지 않는 키 값에 마우스 우클릭을 통해 생성된 메뉴 중 "사용 권한" 항목을 클릭하시기 바랍니다. 

생성된 "LEGACY_PCIDEVICE의 사용 권한" 또는 "LEGACY_SOFTDAEMO의 사용 권한" 창에서 "Everyone의 사용 권한 → 모든 권한" 항목의 "허용" 박스에 체크를 하시고 삭제를 진행하시면 정상적으로 삭제됩니다.

 

(4) 반드시 시스템 재부팅을 한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\Wintext_BBBBB.txt-malware
  • C:\WINDOWS\system32\userinit.exe-malware

모든 절차가 완료된 후에는 보안 제품을 이용하여 정밀 검사를 하시길 권장하며, 이번 사례와 같이 인터넷 상에서 많은 사용자들이 이용하는 유명 소프트웨어를 변조하여 파일 실행시 사용자 몰래 추가적인 악성 파일을 설치하여 악의적인 동작을 할 수 있으므로 블로그에서 제공하는 파일은 되도록 다운로드하여 실행하지 않도록 하시기 바랍니다.