본문 바로가기

벌새::Analysis

alexa 프로그램으로 위장한 WindowsDriver.dll 악성 파일 유포 주의 (2012.6.10)

이번 주말을 이용하여 파일 다운로더 프로그램에 추가된 제휴(스폰서) 프로그램 중 "랭킹 순위 프로그램"으로 등록된 악성 프로그램을 통한 유포 행위가 기존의 WindowsLive.dll 파일에서 WindowsDriver.dll 파일로 변경이 이루어진 것을 확인하였습니다.

 

  랭킹 순위 프로그램으로 위장한 백도어 유포 주의 (2012.6.8)

 

이번에 추가로 확인된 변종의 설치 파일은 7종으로 파일 정보 및 진단 상태는 다음과 같습니다.

  1. h**p://112.***.245.***/u/a.exe (MD5 : 7184b4101ba67c0e5db72abc9e0053f2) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/41)
  2. h**p://112.***.245.***/u/b.exe (MD5 : 9b23bdc255fd74a4334c3703eab40fcc) - Microsoft : VirTool:Win32/Obfuscator.XZ (VirusTotal : 12/41)
  3. h**p://112.***.245.***/u/c.exe (MD5 : 0b039c6f4aae3f142b3a978d3f004ae7) - AVG : unknown virus Win32/DH{ICQiJw8} (VirusTotal : 11/41)
  4. h**p://112.***.245.***/u/d.exe (MD5 : 75ad34076900ea450026b8c695b7daab) - Avira AntiVir : TR/Crypt.XPACK.Gen (VirusTotal : 11/41)
  5. h**p://112.***.245.***/u/e.exe (MD5 : 7f0b8a56b5c90b381a54f235879ac15b) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/42)
  6. h**p://112.***.245.***/u/f.exe (MD5 : 84003ecff0e9be4a8bcf7c74d91abdea) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/42)
  7. h**p://112.***.245.***/u/g.exe (MD5 : f564e74c28f809b1560041a696709434) - Kaspersky : Trojan-Dropper.Win32.Agent.gupx (VirusTotal : 12/42)

감염 과정은 이전 분석글과 동일하므로 생략하겠으며 변경된 내용을 중심으로 살펴보도록 하겠습니다.

 

[생성 파일 및 레지스트리 정보]

 

C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa
C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa\Uninstall alexa.lnk
C:\WINDOWS\system32\Uninstall alexa.exe
C:\WINDOWS\system32\WindowsDriver.dll (MD5 : 6f6c7e3ecbeadecfaac7d7ca1c8631a9)

※ 해당 파일명은 고정값이며, MD5 Hash값은 랜덤(Random) 합니다.

해당 악성코드는 사용자에게 정상적인 소프트웨어가 설치된 것처럼 속일 목적으로 프로그램 목록에 "alexa - Uninstall alexa" 항목을 등록하고 있는 것이 특징입니다. 

감염이 이루어지면 서비스에 "WindowsDriver" 항목을 등록하여 시스템 시작시마다 svchost.exe 프로세스에 WindowsDriver.dll 파일을 인젝션(Injection)하여 자동 실행되도록 구성되어 있습니다. 

이를 통해 "ciygqnn.gicp.net" C&C 서버에 쿼리를 전송하며 추가적인 명령을 기다리게 됩니다. 

핵심적인 연결 기능을 하는 "C:\WINDOWS\system32\WindowsDriver.dll" 파일은 숨김(H) 속성값을 가지고 있으며, 보안 제품의 진단을 우회할 목적으로 쓰레기 코드와 암호화된 패킹을 통해 75MB 크기로 구성되어 있는 것이 특징입니다. 

해당 악성코드에 감염된 PC는 감염 후 재부팅을 할 경우 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일이 삭제되는 동작이 반복적으로 이루어지게 됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
 - PendingFileRenameOperations = \??\C:\WINDOWS\system32\drivers\etc\hosts

해당 문제는 감염시 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations" 레지스트리 값에 "\??\C:\WINDOWS\system32\drivers\etc\hosts" 데이터 값을 입력하게 됩니다.

 

해당 레지스트리 값은 시스템 재부팅 후 동작을 지정한 값으로 사용자가 해당 데이터 값을 제거하지 않는 경우에는 악성코드 제거 후에도 복원한 호스트 파일(hosts) 파일이 반복적으로 삭제되는 문제가 발생하게 됩니다.

 

악성코드 감염을 통해 차후 공격자는 감염된 PC와 연결하여 추가적인 악성 파일 설치 및 정보 유출 등의 악의적인 행위를 할 수 있으며, 예상되는 추가적인 악성 파일은 숨김(H) 속성값을 가지는 "C:\WINDOWS\system32\UrlIEHost.dll" 파일로 추정됩니다.

 

해당 UrlIEHost.dll 파일 역시 대용량의 파일 크기와 서비스 등록을 통해 온라인 게임 등의 금전적 피해를 유발할 가능성이 있으므로 추가적인 감염 확인을 하시기 바랍니다.

 

해당 악성코드 감염으로 인해 수동으로 문제를 해결하기 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.

 

(1) 실행창에 [sc stop "WindowsDriver"][sc delete "WindowsDriver"] 명령어를 입력하여 서비스 중지 및 삭제를 진행하시기 바랍니다. 

 

(2) 윈도우 탐색기를 이용하여 "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 찾아 삭제하시기 바랍니다. 

해당 파일은 숨김(H) 속성값을 가지므로 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 하시고 파일을 찾으시기 바랍니다.

 

(3) 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa
  • C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa\Uninstall alexa.lnk
  • C:\WINDOWS\system32\Uninstall alexa.exe

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제 및 변경하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WindowsDriver = WindowsDriver :: 삭제
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

 - PendingFileRenameOperations = (공란) :: 감염 전

 - PendingFileRenameOperations = \??\C:\WINDOWS\system32\drivers\etc\hosts :: 감염 후

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations" 값에 입력된 "\??\C:\WINDOWS\system32\drivers\etc\hosts" 데이터 값을 삭제하여 "감염 전" 상태로 변경하시기 바랍니다.

 

(5) "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일이 삭제된 사용자는 마이크로소프트(Microsoft)사에서 제공하는 "Microsoft Fix it 50267" 파일을 다운로드 및 실행하여 호스트 파일을 자동으로 복구하시기 바랍니다.

 

모든 절차가 완료된 사용자는 시스템 재부팅 이후에 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 추가적으로 진행하시기 바랍니다.

  • root 2012.06.11 16:26 댓글주소 수정/삭제 댓글쓰기

    이런..또 호스트파일을 통채로 삭제하는군요;;
    전 그 이유를 모르겠습니다 ㅋㅋ
    좋은글 감사합니다^^주의해야겠군요.

  • 정소현 2012.06.12 15:34 댓글주소 수정/삭제 댓글쓰기

    안녕하세요ㅜㅜ 검색하다가 지금 삭제중인데 레지스트 편집기에서 PendingFileRenameOperations가 없네요ㅜㅜㅜㅜ

  • 정소현 2012.06.12 15:58 댓글주소 수정/삭제 댓글쓰기

    펜딩 리네임 오퍼레이션스 는 있는데 데이터값이 CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
    이렇게 되어있는데 이건 상관없나요 흑흑흑 여기로 찾아들어가도 저게 없어요 ㅠㅠ

  • 정소현 2012.06.12 17:24 댓글주소 수정/삭제 댓글쓰기

    감사합니다!!

  • 후.. 2012.06.24 05:35 댓글주소 수정/삭제 댓글쓰기

    앞글에서 댓글 달아주셔서 왔는데요!~ alexa도 없고, windowsdriver도 없어요ㅜ 윈도우 켯을때 windowslive.dll를 다른 프로세스가 사용중 이런것도 이젠 안뜨는데 컴퓨터가 느려진게 느껴져요. 맨처음 부팅할때 바탕화면 아이콘도 느리게뜨고, 키자마자 바로 인터넷 켯는데 뭐 작업 많이할때만 뜨던 추가기능 설정안해서 뭐 검색속도 높이기이런 글 뜨는거 보면 아직도 윈도우 키자마자 뭘 실행시키는거같은데.. 아 미치겠어요!!ㅜ 그냥 제 컴퓨터가 느려진걸까요?.. 윈7 쿼드코어 i7인데!! ㅜㅜ 귀찮으시겠지만 도와주시면 정말 감사하겠습니다.
    수정-다시 컴퓨터 켜보니까 또 windowslive 다른 프로세스가 사용중이라는거 또 뜨네요..ㅜㅜ

    • i7 환경에서 체감될 정도이면 심각한 것 같습니다.ㅠㅠ

      해당 파일은 분명 시스템 기본 파일이 아니며 파일 크기가 수십MB 이상의 크기라면 분명 악성 파일로 보입니다.

      혹 여유가 되시면 http://cafe.naver.com/malzero 카페에서 관련 질문을 상세하게 다시 해 보시기 바랍니다.

      원격으로 문제 해결을 해주실 분이 있을 수 있습니다.

    • 후.. 2012.06.24 17:24 댓글주소 수정/삭제

      감사합니다~ 진짜 친절하시네요..

      한번 원격해주실분 찾아야겠네요~ ㅎㅎ

      다시한번 감사드립니다~~

  • 에구.. 2012.07.24 10:51 댓글주소 수정/삭제 댓글쓰기

    저는 2단계에서 삭제하려고하니까 WindowsDriver에서 열려있어서 삭제할수가없대요...
    1번잘따라했는데 ㅜㅜ

  • 음... 2012.08.13 18:01 댓글주소 수정/삭제 댓글쓰기

    pendingFileRenameoperations인가~ 이게 없거든요 '-` 알약검사하니 백도어 트로이목마뜨기도하고.....엄.....저거 영어 없어도 괜찮은건가요? Host는 재부팅할경우에 안지워지기도하고....

  • 음... 2012.08.13 18:39 댓글주소 수정/삭제 댓글쓰기

    앗 감사합니다 :3!!! 이제 마지막으로 검사해서 뜬 windowsdriver 치료를 할 생각인데 '-` 이걸 했을 경우에도 추가적으로 발견 될수있는 문제가 있나요? 그럼...컴퓨터 밀어버리는게 낫겠죠?

    • 말씀하시는 내용을 보니 절차대로 안하신 것 같은데 아무튼 파일 제거를 하시면 감염된 부분이 치료 된 것입니다.

      그 후에도 추가적으로 발견되는건 또 사용자가 감염되어서 그렇겠죠?ㅠㅠ

      밀어버리는 것도 중요하지만 이런 악성 파일에 감염되지 않도록 잘못된 인터넷 습관은 고칠 필요가 있습니다.

  • 휴 덕분에 속 시원하게 해결했네요.
    참고로 windows 7 64비트에는 system32 폴더에 없고, SysWOW64 폴더에 windowsdriver.dll 파일이 존재해서 찾기가 어려웠어요.
    감사드립니다 ^^

  • ㅇㄹㅇ 2013.10.06 14:46 댓글주소 수정/삭제 댓글쓰기

    host 파일이 지워진걸 확인하고 wnidowsdriver.dll
    파일 제거까지 완료 했습니다 레지스트리 값은 확인해보니
    존재자체가 없었구요
    문제는 호스트 파일이 다시 생성이안되는데 어떡하죠?

  • ㅇㄹㅇ 2013.10.06 15:06 댓글주소 수정/삭제 댓글쓰기

    http://support.microsoft.com/kb/972034/ko
    여기서 해결지원탭에 문제자동해결 눌러서 뭔가 다운받고 컴퓨터 재부팅시켜도
    여전히 호스트파일이 생성이 안됩니다

  • ㅇㄹㅇ 2013.10.06 18:45 댓글주소 수정/삭제 댓글쓰기

    이것저것 답해주셔서 정말 감사드립니다
    끝으로 위의 홈페이지에서 시키는대로 메모장을 이용해서 host 파일을 생성하면
    약 1KB(716바이트)크기의 파일이 생성되는데 이게 맞는지
    그리고 리붓시켰을때 이게 삭제가 되지않는다면 악성파일을 재대로 처리했는지

    그리고 avast 백신 사용중 파일시스템 감시에서 3개정도가 걸렸다고 기록에 뜨는데
    이 세개를 확인,처리 할 수 있는 방법을 알려주시면 정말 감사하겠습니다

    • 파일 사이즈는 크게 중요하지 않고 내부에 기록된 정보가 중요합니다.

      그리고 avast!에서 무엇이 진단되었는지 제가 모르겠군요.

      그리고 운영 체제가 무엇인지 모르겠는데 호스트 파일 제작시에는 Windows 7에서는 관리자 권한으로 실행하여 제작하시기 바라며, 메모장으로 저장할 때 텍스트 문서로 저장하지 마시기 바랍니다.

      호스트 파일은 hosts 파일이지 hosts.txt 파일이 아닙니다.

  • ㅇㄹㅇ 2013.10.06 19:47 댓글주소 수정/삭제 댓글쓰기

    답변해주셔서 정말 감사드립니다
    운영체제는 xp구요 제가 아까 파일을 잘 못 생성해서 다시 생성할려고 hosts를
    만들려고하니 액세스가 거부되었다고하는데 해결방법은 없는지요?

    • XP 환경이라면 관리자 권한 같은 것이 없어서 쉽게 제작이 가능할겁니다.

      그런데 hosts 파일이 액세스 거부가 일어난다고 말씀하시는거 보니 무언가 감염된 상태가 아닌가 싶군요.

      http://hummingbird.tistory.com/notice/4859

      링크 내용을 잘 읽어보시고 Runscanner 프로그램으로 run 파일을 제작해서 제 이메일로 보내주시기 바랍니다.

      어떤 부분에 문제가 있는지 봐 드리겠습니다.

  • ㅇㄹㅇ 2013.10.06 20:15 댓글주소 수정/삭제 댓글쓰기

    정말 감사드립니다.
    안그래도 며칠전에 자주쓰는 계정이 유출되서 현금피해가 있던참이였는데
    정말 감사드립니다 방금 보내드렸습니다

  • ㅇㄹㅇ 2013.10.07 23:31 댓글주소 수정/삭제 댓글쓰기

    저기 그런데 해결방법은 어떤 경로를 통해서 알려주실건지 말씀해주실 수 있나요?

    • 저에게 이메일로 보내주신면 제가 문제되는 부분을 찾아 제거 방법을 이메일로 전달해 드릴 수는 있습니다.

      하지만 Runscanner 프로그램은 제한적인 정보를 제공하기 때문에 완전히 해결할 수는 없을 수 있습니다.

      그리고 만약 제가 질문자라면 계정 유출되고 현금 피해 당했다면 컴퓨터 포맷할겁니다.

      아무리 치료를 다하였다고 하더라도 불안하지 않을까요? 현명하게 생각하시고 자신의 개인정보와 재산을 보호하시기 바랍니다.

  • ㅇㄹㅇ 2013.10.08 01:17 댓글주소 수정/삭제 댓글쓰기

    음.. 그냥 윈7을 새로 깔아버리는것도 상관없겠죠?
    이왕 포맷할거면