이번 주말을 이용하여 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램 중 "랭킹 순위 프로그램"으로 등록된 악성 프로그램을 통한 유포 행위가 기존의 WindowsLive.dll 파일에서 WindowsDriver.dll 파일로 변경이 이루어진 것을 확인하였습니다.
▷ 랭킹 순위 프로그램으로 위장한 백도어 유포 주의 (2012.6.8)
이번에 추가로 확인된 변종의 설치 파일은 7종으로 파일 정보 및 진단 상태는 다음과 같습니다.
- h**p://112.***.245.***/u/a.exe (MD5 : 7184b4101ba67c0e5db72abc9e0053f2) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/41)
- h**p://112.***.245.***/u/b.exe (MD5 : 9b23bdc255fd74a4334c3703eab40fcc) - Microsoft : VirTool:Win32/Obfuscator.XZ (VirusTotal : 12/41)
- h**p://112.***.245.***/u/c.exe (MD5 : 0b039c6f4aae3f142b3a978d3f004ae7) - AVG : unknown virus Win32/DH{ICQiJw8} (VirusTotal : 11/41)
- h**p://112.***.245.***/u/d.exe (MD5 : 75ad34076900ea450026b8c695b7daab) - Avira AntiVir : TR/Crypt.XPACK.Gen (VirusTotal : 11/41)
- h**p://112.***.245.***/u/e.exe (MD5 : 7f0b8a56b5c90b381a54f235879ac15b) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/42)
- h**p://112.***.245.***/u/f.exe (MD5 : 84003ecff0e9be4a8bcf7c74d91abdea) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/42)
- h**p://112.***.245.***/u/g.exe (MD5 : f564e74c28f809b1560041a696709434) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/42)
감염 과정은 이전 분석글과 동일하므로 생략하겠으며 변경된 내용을 중심으로 살펴보도록 하겠습니다.
C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa
C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa\Uninstall alexa.lnk
C:\WINDOWS\system32\Uninstall alexa.exe
C:\WINDOWS\system32\WindowsDriver.dll (MD5 : 6f6c7e3ecbeadecfaac7d7ca1c8631a9)
※ 해당 파일명은 고정값이며, MD5 Hash값은 랜덤(Random) 합니다.
해당 악성코드는 사용자에게 정상적인 소프트웨어가 설치된 것처럼 속일 목적으로 프로그램 목록에 "alexa - Uninstall alexa" 항목을 등록하고 있는 것이 특징입니다.
감염이 이루어지면 서비스에 "WindowsDriver" 항목을 등록하여 시스템 시작시마다 svchost.exe 프로세스에 WindowsDriver.dll 파일을 인젝션(Injection)하여 자동 실행되도록 구성되어 있습니다.
이를 통해 "ciygqnn.gicp.net" C&C 서버에 쿼리를 전송하며 추가적인 명령을 기다리게 됩니다.
핵심적인 연결 기능을 하는 "C:\WINDOWS\system32\WindowsDriver.dll" 파일은 숨김(H) 속성값을 가지고 있으며, 보안 제품의 진단을 우회할 목적으로 쓰레기 코드와 암호화된 패킹을 통해 75MB 크기로 구성되어 있는 것이 특징입니다.
해당 악성코드에 감염된 PC는 감염 후 재부팅을 할 경우 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일이 삭제되는 동작이 반복적으로 이루어지게 됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
- PendingFileRenameOperations = \??\C:\WINDOWS\system32\drivers\etc\hosts
해당 문제는 감염시 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations" 레지스트리 값에 "\??\C:\WINDOWS\system32\drivers\etc\hosts" 데이터 값을 입력하게 됩니다.
해당 레지스트리 값은 시스템 재부팅 후 동작을 지정한 값으로 사용자가 해당 데이터 값을 제거하지 않는 경우에는 악성코드 제거 후에도 복원한 호스트 파일(hosts) 파일이 반복적으로 삭제되는 문제가 발생하게 됩니다.
악성코드 감염을 통해 차후 공격자는 감염된 PC와 연결하여 추가적인 악성 파일 설치 및 정보 유출 등의 악의적인 행위를 할 수 있으며, 예상되는 추가적인 악성 파일은 숨김(H) 속성값을 가지는 "C:\WINDOWS\system32\UrlIEHost.dll" 파일로 추정됩니다.
해당 UrlIEHost.dll 파일 역시 대용량의 파일 크기와 서비스 등록을 통해 온라인 게임 등의 금전적 피해를 유발할 가능성이 있으므로 추가적인 감염 확인을 하시기 바랍니다.
해당 악성코드 감염으로 인해 수동으로 문제를 해결하기 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.
(1) 실행창에 [sc stop "WindowsDriver"] → [sc delete "WindowsDriver"] 명령어를 입력하여 서비스 중지 및 삭제를 진행하시기 바랍니다.
(2) 윈도우 탐색기를 이용하여 "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 찾아 삭제하시기 바랍니다.
해당 파일은 숨김(H) 속성값을 가지므로 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 하시고 파일을 찾으시기 바랍니다.
(3) 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa
- C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa\Uninstall alexa.lnk
- C:\WINDOWS\system32\Uninstall alexa.exe
(4) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제 및 변경하시기 바랍니다.
- WindowsDriver = WindowsDriver :: 삭제
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
- PendingFileRenameOperations = (공란) :: 감염 전
- PendingFileRenameOperations = \??\C:\WINDOWS\system32\drivers\etc\hosts :: 감염 후
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations" 값에 입력된 "\??\C:\WINDOWS\system32\drivers\etc\hosts" 데이터 값을 삭제하여 "감염 전" 상태로 변경하시기 바랍니다.
(5) "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일이 삭제된 사용자는 마이크로소프트(Microsoft)사에서 제공하는 "Microsoft Fix it 50267" 파일을 다운로드 및 실행하여 호스트 파일을 자동으로 복구하시기 바랍니다.
모든 절차가 완료된 사용자는 시스템 재부팅 이후에 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 추가적으로 진행하시기 바랍니다.