본문 바로가기

벌새::Analysis

Microsoft Windows 데이타 Manager 파일로 위장한 악성코드 유포 주의 (2012.5.4)

반응형

이전에 AMD, NVIDIA 관련 파일로 위장하여 설치되던 악성코드가 최근 "Microsoft Windows 데이타 Manager" 관련 파일로 등록하여 유포가 이루어지기 시작한 것을 확인하였습니다.

 

  AMD 파일로 위장한 국내 악성코드 유포 주의 (2012.3.21)

 

  NVIDIA 파일로 위장한 국내 악성코드 유포 주의 (2012.3.29)

 

참고로 해당 악성코드는 국내에서 악성 광고 프로그램 유포 목적으로 운영되는 업데이트 서버를 통해 전파되고 있는 것으로 보입니다. 

업데이트 서버로부터 다운로드되는 설치 파일(MD5 : d89b243311e67644fe0149ee0ccf2101)은 "Window Optimization" 파일 속성값을 가지고 있으며, avast! 보안 제품에서는 Win32:Downloader-NZY [Trj] (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

 

  • h**p://aazz8282.pnsweb.net.cn/ls_install.asp?mac=(사용자 Mac Address)&code=A1115
  • h**p://aazz8282.pnsweb.net.cn/xp_install.asp?mac=(사용자 Mac Address)&code=A1115

해당 설치 파일은 중국(China)에 등록된 서버에 설치 관련 기록을 전송하며, 다음과 같은 폴더(파일)를 생성합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document\ava.dll
C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document\avb.dll


C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document\avod.exe :: 메모리 상주 프로세스
 - MD5 : c195b7ff632280bfb1895bf72edc80ab
 - avast! : Win32:Downloader-NZY [Trj] (VirusTotal : 2/42)

 

C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document\avu.exe :: 시작 프로그램 등록 파일
 - MD5 : e876f85f9c5d4ad9b34758b389f22c56

생성된 "C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document\avu.exe" 파일은 1분이 경과하는 시점에서 ava.dll 파일을 다운로드합니다.

 

그 후 30초가 경과하면 "C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document\avod.exe" 파일이 메모리에 상주하기 시작하며 다음과 같은 연결을 시도합니다.

 

  • h**p://kimzzang777.pnsweb.net.cn/list_search_init.asp
  • h**p://kimzzang777.pnsweb.net.cn/list_search_resettime.asp
  • h**p://kimzzang777.pnsweb.net.cn/list_search_cur_run.asp?mac=(사용자 Mac Address)&code=120410
  • h**p://kimzzang777.pnsweb.net.cn/list_search_word12.asp

생성된 파일을 확인해보면 사용자가 확인하기 어렵도록 숨김(H) 속성값을 가지는 "C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document" 폴더 내부에 마이크로소프트(Microsoft)사에서 제작한 파일처럼 사용자를 속이고 있습니다. 

시작 프로그램으로 등록된 avu.exe 파일은 "Windows 데이타 Manager" 파일 속성값을 가지고 있으며, 시스템 시작시마다 자동으로 실행되어 프로그램 업데이트 체크 및 자신을 숨기기 위한 레지스트리 수정을 합니다. 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced
 - Hidden = 2 :: 윈도우 기본값

수정되는 레지스트리 값을 확인해보면 원래 Windows 기본값이지만 사용자가 숨김 파일 및 폴더를 윈도우 탐색기를 이용하여 볼 수 있도록 "숨김 파일 및 폴더 표시"에 체크한 환경인 경우, 시스템 시작시마다 "숨김 파일 및 폴더 표시 안 함"으로 변경을 합니다.

 

이를 통해 숨김(H) 속성값을 가지는 "C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document" 폴더가 사용자 눈에 보이지 않도록 하고 있습니다. 

메모리에 상주하는 avod.exe 파일은 "Windows 데이타 Manager" 파일 속성값을 가지며, 다음과 같은 외부 연결을 주기적으로 연결하고 있습니다. 

연결되는 정보를 확인해보면 중국(China)에 위치한 "210.51.4.226 (mail.pnsbiz.net)" 서버로 연결되고 있는 것을 확인할 수 있습니다.

 

참고로 해당 호스트(mail.pnsbiz.net)는 DNS 정보를 확인해보면 PTR(IP 주소에 대하여 도메인 이름을 매핑해 주는 역할을 합니다.) 레코드 타입입니다. 

해당 악성코드의 기능은 현재로서는 확인되지 않고 있지만, 차후 국내 웹 사이트를 이용하는 과정에서 인터넷 쇼핑몰 관련하여 금전적 수익을 창출하는 동작이 있을 것으로 추정됩니다.

 

위와 같은 방식으로 시스템 시작시마다 자동으로 실행되어 avod.exe 파일을 외부와 연결하며, 자신의 모습을 숨기기 위해 레지스트리 값을 반복적으로 수정하는 해당 악성코드에 감염된 사용자는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

 

(1) Windows 작업 관리자에서 avod.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

 

(2) 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크하시고 "C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\INUA
HKEY_CURRENT_USER\Software\INUB
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MSUtil = "C:\Documents and Settings\(사용자 계정)\My Documents\SQL Server Document\avu.exe" -a

 

모든 절차가 완료된 사용자의 경우 해당 악성코드 감염을 유발하는 악성 파일을 찾아야 하므로, 백신 프로그램을 이용한 정밀 검사 또는 시작 프로그램에 등록된 파일 정보를 확인하여 악성 여부를 바이러스토탈(VirusTotal)에 업로드하여 점검해 보시기 바랍니다.

 

마지막으로 해당 악성코드 유포자는 지속적으로 변형된 형태를 유포하는 것으로 예상되므로, 감염자의 경우에는 신뢰할 수 없는 파일을 인터넷 상에서 다운로드하여 함부로 실행하지 않도록 인터넷 습관을 고치시기 바랍니다.

728x90
반응형