본문 바로가기

벌새::Analysis

랭킹 순위 프로그램으로 위장한 백도어 유포 주의 (2012.6.8)

국내 공개 자료실 형태의 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램에 "랭킹 순위 프로그램"이라는 백도어(Backdoor)를 추가하여 감염을 유도하는 유포 행위가 주말을 시작하는 금요일 야간에 시작된 것을 확인하였습니다.

 

  파일 다운로더 제휴 프로그램을 통한 백도어 유포 주의 (2012.6.2)

 

해당 악성코드는 저번주 주말에도 유사한 방식으로 유포하였으므로 관련 내용을 참고하시기 바랍니다. 

유포지가 확인된 한 곳의 배포 방식을 살펴보면 공개 자료실 형태로 사이트를 운영하면서 블로그 등을 통해 첨부 파일 또는 링크 등의 방식으로 다운로드된 파일을 실행할 경우 "무료 다운로드" 창에 포함된 제휴(스폰서) 프로그램 중 "랭킹 순위 프로그램"으로 숨어 있습니다.

 

참고로 해당 악성 설치 파일(MD5 : 713df04f5178990e35a51165993e9462)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.ServStart (VirusTotal : 18/42) 진단명으로 진단되고 있습니다. 

사용자가 프로그램 다운로드 과정에서 해당 체크를 해제하지 않고 진행을 할 경우, 임시 폴더(C:\Documents and Settings\(사용자 계정)\Local Settings\Temp)에 임시 파일을 생성하여 백신 진단 우회를 목적으로 75.1MB 파일 크기로 확장을 한 후 시스템 폴더에 파일을 생성합니다.

 

[생성 파일 및 레지스트리 정보]

 

C:\WINDOWS\system32\WindowsLive.dll (MD5 : 72c9b6eaa5e847a9fc0bd7d4711d87f6)

※ 해당 파일명은 고정값이며, MD5 해쉬값은 랜덤(Random) 합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WindowsLive = WindowsLive
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSLIVE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsLive

감염된 환경에서는 서비스에 "WindowsLive" 항목을 등록하여 시스템 시작시마다 svchost.exe 프로세스에 WindowsLive.dll 파일을 인젝션(Injection) 시켜 자동 실행되도록 구성되어 있습니다. 

   제휴(스폰서) 프로그램을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.12)

 

이를 통해 "ciygqnn.gicp.net" C&C 서버에 쿼리를 전송하고 있으며, 해당 서버는 올해 3월경에 확인된 온라인 게임 계정을 해킹할 목적으로 유포된 악성코드가 이용한 서버와 연관성이 있는 것으로 보입니다. 

시스템 폴더에 생성된 "C:\WINDOWS\system32\WindowsLive.dll" 파일은 숨김(H) 속성 값을 가지고 있으며, 75.1MB의 비정상적인 파일 크기와 생성 일자가 2009년 6월 22일로 되어 있는 것이 특징입니다. 

해당 악성코드에 감염된 PC는 최초 감염 시점에서는 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일이 유지되지만, 시스템 재부팅 과정에서 다음과 같은 방식으로 삭제 처리가 이루어집니다. 

즉, 시스템 시작시 smss.exe 시스템 파일을 통해 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일은 삭제 처리가 이루어지며, 추가적으로 인터넷 임시 폴더 영역에서 특정 폴더값을 체크하는 동작을 확인할 수 있습니다.

 

이는 차후 감염이 이루어진 PC는 추가적인 악성 파일 다운로드가 이루어질 수 있으며, 정상적인 호스트 파일 삭제 이후 변조된 호스트 파일 교체를 통해 악의적인 동작이 있을 수 있습니다.

 

만약 해당 악성코드 감염 PC가 특정 조건(온라인 게임 접속 등)을 만족시키거나 공격자의 명령에 따라 추가적인 악성 파일이 설치될 경우 "C:\WINDOWS\system32\568439712.dll" 파일명으로 설치가 이루어질 것으로 추정됩니다.

 

생성된 568439712.dll 악성 파일은 파일 크기가 비정상적으로 클 것으로 추정되며, 서비스 등록을 통해 시스템 시작시 자동 실행될 것으로 판단됩니다.

 

현재 감염 상태에서는 추가적인 동작과 관련된 행위가 확인되지 않고 있으므로 백신 프로그램을 통한 해결이 어려운 사용자는 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.

 

(1) 실행창에 [sc stop "WindowsLive"][sc delete "WindowsLive"] 명령어를 입력하여 서비스 중지 및 삭제를 진행합니다. 

 

(2) 윈도우 탐색기를 이용하여 "C:\WINDOWS\system32\WindowsLive.dll" 파일을 찾아 삭제하시기 바랍니다. 

해당 파일은 숨김(H) 속성값을 가지고 있으므로 반드시 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 하시기 바랍니다.

 

(3) 시스템 재부팅 이후에 호스트 파일을 제작하여 "C:\WINDOWS\system32\drivers\etc" 폴더 내에 hosts 파일명으로 저장하시기 바랍니다.(※ 링크에서 제공하는 "Microsoft Fix it 50267" 파일을 다운로드하여 실행하시면 자동으로 호스트 파일이 복구됩니다.)

 

  <Microsoft> 호스트 파일을 기본값으로 다시 설정하는 방법

 

호스트 파일 제작 방법은 링크 내용을 참고하시기 바라며, 이전 게시글에서는 호스트 파일을 시스템 재부팅 이전에 넣는 과정에서 재부팅 이후 1회 재삭제되는 문제가 있었습니다.

 

그러므로 반드시 시스템 재부팅 이후에 호스트 파일을 제작하여 폴더에 저장하시기 바랍니다.

 

모든 절차가 완료된 후에는 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 앞서 언급한 것처럼 추가적인 감염이 이루어진 PC의 경우 숨김(H) 속성값을 가지는 "C:\WINDOWS\system32\568439712.dll" 악성 파일이 존재할 가능성이 있으므로 반드시 확인하시기 바랍니다.

 

마지막으로 국내 블로그 첨부 파일(링크 파일)또는 신뢰할 수 없는 공개 자료실은 악성 파일 유포와 연관이 될 가능성이 있으므로 절대로 파일 다운로드 및 실행을 하지 않도록 하시기 바랍니다.