울지않는벌새 : Security, Movie & Society

모기잡기 프로그램을 이용한 백도어 유포 주의 (2012.7.9)

벌새::Analysis

최근 네이버(Naver) 블로그를 통해 사용자의 눈길을 끄는 다양한 프로그램(※ 모기잡기 프로그램) 설치 파일 내부에 악성 파일을 추가한 방식으로 백도어(Backdoor) 설치를 통해 좀비 PC를 확보하는 사례를 살펴보도록 하겠습니다.

 

해당 악성코드는 공개된 해외 자동 분석 정보에 따르면 2012년 5월경부터 유사 변종이 확인되고 있으며, C&C 서버도 서로 다른 점으로 보아 한 명 이상의 유포자가 중국(China)산 툴을 이용하여 제작 및 유포하는 것으로 추정됩니다. 

유포 블로그를 확인해보면 모기잡기 프로그램 이외에 게임 렉 방지 프로그램, 일본 P2P 프로그램, 다운로드 가속기 등 다양한 프로그램 내부에 악성 파일을 추가하여 감염을 유발시키고 있습니다.

 

모기잡기 프로그램의 경우 모기잡기.exe (MD5 : 37f28faa6f1339b51770e50670c9d197) - AhnLab V3 : Trojan/Win32.Mepaow (VirusTotal : 17/42) 첨부 파일 내부에는 감염을 유발하는 qhstkdyd1.exe (MD5 : 57e9514a7b1c6b24b84dbe4b6aa3c366) - AhnLab V3 : Dropper/Win32.Gh0st (VirusTotal : 16/42) 파일이 포함되어 있는 것을 확인할 수 있습니다. 

감염 과정을 우선 살펴보면 사용자가 다운로드한 모기잡기.exe 파일을 실행할 경우 다음과 같은 파일을 생성합니다.

  • C:\qhstkdyd1.exe
  • C:\모기잡기.exe :: 정상 파일

이렇게 생성된 "C:\qhstkdyd1.exe" 악성 파일은 다음과 같은 3개의 파일을 생성합니다.

  • C:\(7자리 숫자).dll (MD5 : 0e5011545dff3171943036555d323530) - AhnLab V3 : Trojan/Win32.Gh0st (VirusTotal : 12/42) :: 자가 삭제
  • C:\RD_SmartUpdate.log :: 자가 삭제
  • C:\WINDOWS\system32\NT_Path.jpg :: 자가 삭제

"C:\(7자리 숫자).dll" 파일은 "C:\Program Files\Rvsi\qhstkdyd1.dll" 파일명으로 변경되면서 파일 크기를 랜덤(Random)하게 생성하며, 해당 파일(MD5 : 80b0f3b0a38def1cae267dd7c84f4fa6)에 대하여 Microsoft 보안 제품에서는 Backdoor:Win32/Farfli.K (VirusTotal : 10/41) 진단명으로 진단됩니다. 

C:\RD_SmartUpdate.log 파일 정보

C:\WINDOWS\system32\NT_Path.jpg 파일 정보

"C:\Program Files\Rvsi\qhstkdyd1.dll" 악성 파일 생성 및 서비스 등록이 완료되면, 앞서 생성되었던 3개의 파일들((7자리 숫자).dll / RD_SmartUpdate.log / NT_Path.jpg)은 자가 삭제 처리가 이루어집니다. 

감염이 완료된 후에는 화면에서는 그림과 같은 "바게쉬(Bhageysh)의 모기 퇴치" 프로그램 동작만 확인이 되며, 감염 사실을 모르는 사용자는 다음과 같은 악의적인 동작이 이루어질 수 있습니다. 

해당 악성코드는 서비스에 "qhstkdyd1" 이름의 항목을 등록하여 시스템 시작시 svchost.exe 서비스 파일을 통해 자동으로 실행되도록 구성되어 있습니다. 

자동 실행된 svchost.exe 프로세스를 확인해보면 그림과 같이 메모리에 상주하며, 사용자가 수동으로 프로세스를 종료할 경우 자동으로 복구가 이루어집니다. 

이를 통해 감염된 PC는 "qhstkdyd1.codns.com (118.218.237.56)" C&C 서버와 연결이 이루어지며, 이를 통해 추가적인 공격자의 명령에 따라 정보 유출 및 추가적인 다운로드 등의 악의적 기능을 수행할 수 있습니다.

■ String 정보 (일부)

 

\syslog.dat
WinSta0\Default
Gh0st Update

...

qhstkdyd1.codns.com
http://www.baidu.com/ip.txt
qhstkdyd1
qhstkdyd1
qhstkdyd1
qhstkdyd1
C:\Program Files\Rvsi\qhstkdyd1.dll

...

qhstkdyd1.codns.com
c:\program files\rvsi\qhstkdyd1.dll
Global\Net_62453
qhstkdyd1
C:\WINDOWS\System32\svchost.exe

그러므로 해당 악성코드 감염으로 인해 백신 치료에 문제가 있는 분들은 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

 

(1) "C:\Program Files\Rvsi\qhstkdyd1.dll" 파일의 확장자명을 변경하시기 바랍니다.(qhstkdyd1.dll-Malware) 

시스템(S), 숨김(H) 속성값을 가지는 qhstkdyd1.dll 파일은 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 항목의 체크 해제 및 "숨김 파일 및 폴더 표시"에 체크를 하셔야 확인이 가능합니다.

 

(2) 시스템 재부팅 후 "C:\Program Files\Rvsi" 폴더를 수동으로 삭제하시기 바랍니다.

 

(3) 실행창에 [sc delete "qhstkdyd1"] 명령어를 입력하여 등록된 서비스를 삭제하시기 바랍니다. 

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QHSTKDYD1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qhstkdyd1

참고로 이를 통해 2개의 레지스트리 등록값이 자동으로 삭제되어 등록된 "qhstkdyd1" 서비스를 제거할 수 있습니다.

 

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\304785841 :: 랜덤(Random) 9자리 숫자
HKEY_LOCAL_MACHINE\SOFTWARE\317130162 :: 랜덤(Random) 9자리 숫자
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Router
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMOTEACCESS

모든 조치가 완료된 후에는 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 잠시 국내 블로그를 통한 악성코드 및 애드웨어(Adware) 유포에 대한 현실에 대해 몇 자 언급해 보겠습니다.

 

현재 다음(Daum) 및 티스토리(Tistory) 블로그의 경우 자동화된 툴을 이용하여 다수의 블로그 계정을 이용하여 프로그램 소개와 함께 첨부 파일을 통해 다운로드를 하도록 유도하고 있습니다.

 

이런 파일들 상당수는 국내 광고 업자들이 운영하는 특정 서버로부터 프로그램을 다운로드하는 과정에서 사용자 눈에 잘 보이지 않도록 제휴(스폰서) 프로그램을 추가하여 다수의 수익성 프로그램이 다운로드 하도록 제작되어 있습니다.

 

반대로 네이버(Naver) 블로그에서는 사이버 범죄자들이 해킹된 네이버(Naver) 계정을 이용하여 프로그램 내부에 악성 파일을 추가한 형태로 첨부 파일로 등록하여 검색에 노출이 잘 되도록 구성하고 있습니다.

 

그러므로 악성코드에 잘 감염되는 사용자의 경우에는 절대로 국내 블로그에 추가된 첨부 파일 또는 링크를 통해 프로그램을 다운로드하지 않는 것이 매우 중요하며, 국내 포털 업체에서는 이런 악성 첨부 파일에 대한 검증에 대해 외부 신고에 의존하지 말고 자체 검증 시스템을 강화해야 할 것으로 보입니다.