본문 바로가기

벌새::Analysis

파일 다운로더 제휴 프로그램을 통한 백도어 유포 주의 (2012.6.2)

반응형

인터넷 게시판, 블로그, 공개 자료실 등에 등록된 파일을 실행하여 생성되는 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램을 통해 백도어(Backdoor)가 유포되는 사례를 확인하였습니다.

 

  제휴(스폰서) 프로그램을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.12)

 

해당 악성코드는 2012년 3월경 발생한 제휴(스폰서) 프로그램을 이용하여 온라인 게임 관련 백도어 기능을 수행할 목적으로 유포되던 악성 파일의 변종이므로 참고하시기 바랍니다. 

이번 악성코드의 유포 방식을 세부적으로 확인해보면 인터넷 상에서 다운로드한 유명 소프트웨어를 실행할 경우 그림과 같은 파일 다운로더 창(pdsdownloader)이 생성됩니다.

 

해당 창의 우측 하단에는 매우 작은 스크롤바 형태로 다수의 수익성 프로그램이 체크된 상태로 등록되어 있으며, 맨 하단에는 "STATS조사"라는 프로그램이 포함되어 있습니다. 

해당 제휴 프로그램이 등록된 업데이트 서버를 확인해보면 2012년 6월 1일 오전 10시 42분경 등록되어 있으며 "인터넷 통계 조사 프로그램"이라는 허위 이용약관을 포함하고 있습니다.

 

해당 설치 파일(MD5 : c4b387241c966a42686f7b14edb26b8a)에 대하여 Microsoft 보안 제품에서는 VirTool:Win32/Obfuscator.XZ (VirusTotal : 6/42) 진단명으로 진단되고 있습니다.

 

[생성 파일 등록 정보]

 

C:\WINDOWS\system32\IETimes.txt
C:\WINDOWS\system32\PPSave.dll (MD5 : ce5ac2c8f60e463afe05d67ba93db475)

악성코드에 감염될 경우 시스템 폴더에 숨김(H) 속성값을 가지는 PPSave.dll 파일이 75.1MB 크기로 생성됩니다. 

또한 서비스에 "서비스 이름(표시 이름) : PPSave" 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\svchost.exe -k PPSave" 파일을 자동으로 실행하도록 제작되어 있습니다. 

이를 통해 svchost.exe 프로세스 추가를 통해 "112.175.100.203 : 6174(ciygqnn.gicp.net)" C&C 서버로 연결을 시도하는 동작이 이루어집니다. 

연결시 확인되는 패킷에서는 "Login:a@a" 문자를 확인할 수 있으며, 실질적인 동작은 암호화된 PPSave.dll 파일에서 지정한 특정 온라인 게임이 동작시 추가적인 악성 파일 다운로드 및 백도어 기능을 수행할 것으로 추정됩니다. 

특히 감염된 PC 환경인 경우 감염 후 시스템 재부팅 과정에서 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일을 삭제해 버리는 동작을 확인할 수 있었습니다.

 

해당 악성코드 감염자는 다음의 절차에 따라 문제를 해결하시기 바라며, 감염된 상태에서 불필요한 인터넷 로그인 및 온라인 게임 실행 등의 동작을 하지 않는 것이 가장 안전합니다. 

우선 폴더 옵션에서 "숨김 파일 및 폴더 표시"에 체크를 하시고 악성 파일을 찾으시기 바랍니다.

 

(1) 실행창에 [sc stop "PPSave"] 명령어를 입력하여 악성 서비스를 중지시키기 바랍니다. 

 

(2) 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\IETimes.txt
  • C:\WINDOWS\system32\PPSave.dll

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - PPSave = PPSave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PPSAVE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PPSave

삭제시 "키 삭제 오류" 창이 생성되는 레거시(Legacy) 값은 다음의 절차에 따라 삭제를 진행하시기 바랍니다. 

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

PPSAVE" 키 값에 마우스 우클릭을 통해 생성된 "사용 권한" 메뉴를 클릭하시기 바랍니다. 

생성된 "LEGACY_PPSAVE의 사용 권한" 창에서 "Everyone의 사용 권한""모든 권한"에서 "허용" 박스에 체크를 하시고 적용 버튼을 클릭하시기 바랍니다.

 

그 후 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
PPSAVE"
값을 삭제하시면 정상적으로 삭제됩니다.

 

(4) 삭제된 호스트 파일은 다음의 링크 내용(직접 해결 방법)을 참고하여 수동으로 제작하시거나 "Microsoft Fix it 50267" 파일을 다운로드하여 실행하시기 바랍니다. 

   <Microsoft> 호스트 파일을 기본값으로 다시 설정하는 방법

 

모든 절차가 완료된 후에는 반드시 추가적으로 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 기본적으로 국내 블로그 또는 신뢰할 수 없는 공개 자료실에서 제공하는 첨부 파일은 절대로 다운로드 및 실행을 하지 않는 것이 안전합니다.

728x90
반응형
  • root 2012.06.02 08:30 댓글주소 수정/삭제 댓글쓰기

    호스트파일을 통채로 삭제해버리다니;;
    좋은글 감사합니다^^

  • silver 2012.06.08 14:50 댓글주소 수정/삭제 댓글쓰기

    저도 같은 현상 고생하다
    구글링으로 이곳을 찾았는데
    동일방법으로 파일 삭제 및 레지스트리 수정을 해도....

    재부팅시엔 hosts파일이 사라지네요;;;;
    아주 미치겠어요. 뭐 이런 악성중에 악성이.

    혹시 추가적으로 처리할 수 있는 방법이 있을지요??

    • 삭제 이후에도 호스트 파일이 반복적으로 제거되는 부분은 아직 확인해 보지 못하였습니다.

      현재 유포 경로에 있던 파일이 제거되어 재확인이 어려울 것 같습니다.

      해당 문제로 고생을 하신다면 보호나라(http://www.boho.or.kr/index.jsp / 국번없이 118번)에 원격지원 요청을 통해 점검을 받아보시기 바랍니다.

    • 그리고 해당 악성코드는 추가적인 다운로드를 통해 다른 악성 파일 감염을 유발할 수 있습니다.

      여기에서 작성한 글은 그 이전 시점까지만 작성하였고 추가적인 동작은 없었으므로, 유명 백신을 이용하여 악성 파일이 존재한지 정밀 검사를 해보시기 바랍니다.

    • silver 2012.06.08 17:07 댓글주소 수정/삭제

      네 답변 감사합니다.
      말씀하신 사이트를 통해 한번 더 점검해보고
      정밀 검사도 다시 한번 실행해야겠네요.

      많은 정보, 도움 받고 갑니다.
      늘 행복하세요.

  • 감사합니다 2012.06.10 15:37 댓글주소 수정/삭제 댓글쓰기

    정말 도움 됬어요ㅠㅠㅠ
    그런데 \WINDOWS\system32\PPSave.dll를 찾았는데
    다른 프로세스에서 사용한다고 제거가 안되요;;
    이럴땐 어떻게 해야되나요??

  • 감사합니다 2012.06.11 00:12 댓글주소 수정/삭제 댓글쓰기

    감사합니다 변경 하고 재부팅 하니까 되네요 ㅠㅠ
    악성코드때문에 머리아팠는데
    많은 도움 주셔서 다시한번 감사 드려요^^

  • ㅎㅎ 2012.06.12 21:55 댓글주소 수정/삭제 댓글쓰기

    감사합니다 ㅎㅎ 덕분에 잘 해결됬어요 ㅎㅎ

  • 동동구리무 2012.06.22 09:08 댓글주소 수정/삭제 댓글쓰기

    부팅하자마자 ppsave.dll 오류가 뜨긴 하는데 말씀해주신대로 검색하니 존재하질 않네요. 숨김폴더도 풀어놨는데, 이건 무슨 경우인가요?

    • 오류가 뜨는건 ppsave.dll 파일은 이미 제거가 되었기 때문에 나타나는 현상입니다.

      감염으로 인해 ppsave.dll 파일 동작과 관련된 레지스트리 값 등록이 있는데 파일은 제거되고 레지값은 남아서 발생합니다.

      그러므로 글 하단의 "(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다." 내용을 참고하여 관련 레지값을 제거해 보시기 바랍니다.

  • 헬프 2012.06.28 12:03 댓글주소 수정/삭제 댓글쓰기

    이런거에 감염되다니 ㅠㅠ
    근데 PPSave.dll 이거 찾으니까 안나와여;; 숨김파일표시해놨는데도요;;

    • 해당 악성코드는 http://hummingbird.tistory.com/3875 형태로 변형이 되었을 수도 있습니다.

      또한 정보 공개로 인해 위치가 변경되거나 파일명이 변경되었을 가능성도 존재합니다.

      AhnLab V3, Kaspersky 백신을 이용하여 정밀 검사를 해보시기 바랍니다.

  • 헬프 2012.06.28 16:37 댓글주소 수정/삭제 댓글쓰기

    좀전에 위에 써주신 보호사이트에 전화해서 원격조종받아서 해주셨는데요
    다 치료해주셨다고했는데도 다시 해보니까 저위에 감염후 사진처럼 똑같이나와요..
    hosts 이파일이 없어요.. 확실하게 고쳐주신게 맞는지 궁금한데
    상담원분이 다 고쳤다고해서 전화끊을수밖에없었어요 다고쳐진게맞나요? hosts 파일이 없는데두요..ㅠ

    • http://support.microsoft.com/kb/972034/ko

      호스트 파일이 없으시면 링크의 Microsoft Fix it 50267 파일을 받아서 실행하시고 재부팅하시면 정상으로 돌아옵니다.^^

  • 헬프 2012.06.29 09:37 댓글주소 수정/삭제 댓글쓰기

    님감사합니다!! 정말 많은도움되었어요 덕분에다고쳤습니다^^

  • 롤케익 2012.06.29 16:05 댓글주소 수정/삭제 댓글쓰기

    위에 글 쓰신 '감사합니다'님처럼 다른프로세스에서 사용중이라고 제거가 안되네요.
    이름 바꾸려고 해도 다른 프로세스에서 사용중이라고 제거가 안되고.....
    어떻게 해야하나요?

  • 롤케익 2012.06.29 16:21 댓글주소 수정/삭제 댓글쓰기

    아 위엣글 수정할게요
    이름 바꾸려고 해도 다른 프로세스에서 시용중이라고 이름 바꾸기가 안돼요 ㅠㅠ

    • 안되시는 경우에는 안전모드에서 시도해 보시기 바랍니다. 그리고 파일 수정하실 때에는 서비스를 먼저 종료하시고 수정해 보시기 바랍니다.

      또한 모든 프로그램(웹 브라우저 포함)을 종료한 상태에서 하시기 바랍니다.

  • 감사^^ 2012.07.03 14:24 댓글주소 수정/삭제 댓글쓰기

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PPSAVE

    저같은 경우에 레지스트리에 이게 등록이 안되어있는데
    상관없는건가요??

    3가지 목록중에 2가지는 삭제 했는데 한개는 아예 없네요

  • 2012.08.04 10:37 댓글주소 수정/삭제 댓글쓰기

    sc stop "PPSave" 명령어를 치면 창이 떴다가 바로 없어지는데 어떻게 해야 하나요?ㅠㅠ

  • 2012.08.04 10:40 댓글주소 수정/삭제 댓글쓰기

    그리고 ppsave.dll 파일 삭제하려고하니까 실행중이라서 삭제가 안된다네요ㅠㅠ

    • 서비스 종료 이후에도 삭제가 안되는 경우에는 해당 파일의 확장자명을 변경(ppsave.dll-malware)한 후 재부팅하여 삭제해 보시기 바랍니다.

      되도록 잘 모르시면 백신을 이용하시기 바랍니다.