여성 걸그룹 티아라의 집단 왕따 사건으로 사회적 이슈가 되어 개설된 "티진요(티아라에게 진실을 요구합니다)" 카페를 이용하여 악성 파일을 집중적으로 유포하는 행위가 확인되었습니다.
▷ 여성 걸그룹 티아라 이슈를 이용한 백도어(Backdoor) 유포 주의 (2012.7.31)
참고로 티아라 이슈를 이용한 악성코드 유포 사례 중에는 특정 무료 도메인으로 접속을 유도하여 마이크로소프트(Microsoft)사에서 제공되는 파일처럼 위장한 백도어(Backdoor) 유포에 대해 소개한 적이 있었습니다.
해당 유포자는 2012년 7월 30일~31일 2일간에 걸쳐 다양한 게시물을 통해 그림과 같은 형태로 3종의 악성 파일에 대한 링크를 게시하고 있습니다.
- h**p://180.***.114.***:**/%eb%b0%95%ec%98%88%ec%81%a8.avi.exe (박예쁨.avi.exe) (MD5 : ffbea22178b82f6507d12519db2cf89f) - AhnLab V3 : Backdoor/Win32.DarkKomet (VirusTotal : 17/41)
최초 7월 30일자 유포 파일(박예쁨.avi.exe)은 동영상 파일로 위장하고 있으며, 7월 31일 유포 파일(MOVIE.exe)은 동일한 기능을 가진 변종으로 확인되고 있습니다.
또한 7월 31일자에 추가된 Cam.exe 파일은 감염을 통해 좀비PC를 확보할 목적으로 유포가 이루어지고 있는 것으로 확인되고 있습니다.
참고로 해당 글에서는 7월 31일에 유포한 2개(MOVIE.exe / Cam.exe)의 파일을 중심으로 살펴보도록 하겠습니다.
1. MOVIE.exe (MD5 : 7265a08908e296d91ed2c83b1facb587) - AhnLab V3 : Backdoor/Win32.DarkKomet (VirusTotal : 17/41)
스타 인생극장을 통해 방영되었던 티아라 동영상을 볼 수 있는 것처럼 위장한 해당 파일(MOVIE.exe)을 실행하면 다음과 같은 설치 단계가 제시되는 과정에서 백그라운드 방식으로 악성 파일을 생성합니다.
우선 화면에 제시된 프로그램은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\EXPLORER.EXE" 파일을 생성하여 "Toro Engine 1.3"이라는 치트엔진(CheatEngine) 프로그램을 생성합니다.
파일은 아프리카TV 아이콘을 모방하고 있으며, 실제 해당 파일은 감염시 사용자의 눈을 속일 목적으로 포함된 1회성 파일로 확인되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\dclogs
C:\Documents and Settings\(사용자 계정)\Application Data\dclogs\2012-(월)-(일)-(숫자).dc
C:\WINDOWS\system32\Micro Soft :: 숨김(H) 속성 폴더
C:\WINDOWS\system32\Micro Soft\msdcsc.exe
- MD5 : 7265a08908e296d91ed2c83b1facb587
- AhnLab V3 : Backdoor/Win32.DarkKomet (VirusTotal : 17/41)
생성된 악성 파일은 숨김(H) 속성값을 가진 폴더인 "C:\WINDOWS\system32\Micro Soft" 폴더 내에 자가 복제 파일(msdcsc.exe)을 생성하며, 마치 마이크로소프트(Microsoft)에서 제공하는 것처럼 속이고 있습니다.
▷ MS 파일로 위장하여 키로깅 기능을 하는 멜론(Melon) 크랙 주의 (2012.3.8)
참고로 생성된 해당 악성 파일(msdcsc.exe)은 기존의 멜론(Melon) 크랙을 이용한 유포에서도 유사한 변종이 있었으며, 이는 제작툴을 통해 만들어진 것으로 보입니다.
파일 속성값을 확인해보면 시스템(S), 숨김(H) 속성값을 가지고 있으며, 마이크로소프트(Microsoft) 업체에서 제작한 "Remote Service Application" 파일로 등록되어 있습니다.
감염된 환경에서는 Windows 방화벽을 "사용 안 함"으로 변경하여 외부와 연결하는데 방해가 되지 않도록 하고 있습니다.
또한 등록된 "C:\WINDOWS\system32\Micro Soft\msdcsc.exe" 파일이 시스템 시작시 자동 실행되도록 레지스트리 값에 등록되어 있으며, 사용자가 레지스트리 편집기(regedit)를 실행하여 수정하지 못하도록 방해하고 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = 1
참고로 해당 방해 동작은 msdcsc.exe 파일이 실행시마다 레지스트리 값을 등록하여 동작하지 못하도록 하고 있습니다.
악성 파일(msdcsc.exe)은 시스템 시작시 시작 프로그램으로 등록되어 자동 실행되어 메모리에 상주하여 국내 "180.227.114.188" C&C 서버와 연결을 시도하고 있습니다.
또한 감염된 환경에서 사용자가 입력하는 모든 키로깅 정보는 저장이 되어 정보 유출이 이루어질 수 있으며, SYN Flood와 같은 서버 공격 기능이 포함되어 있는 등 다양한 악의적 기능을 수행할 수 있습니다.
그러므로 해당 악성코드를 수동으로 문제 해결하기 위해서는 다음과 같은 절차를 따르시기 바랍니다.
(1) Windows 작업 관리자를 실행하여 msdcsc.exe 프로세스를 수동으로 종료하시기 바랍니다.
(2) 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 체크 해제 및 "숨김 파일 및 폴더 표시"에 체크를 하신 후, "C:\WINDOWS\system32\Micro Soft" 폴더 및 내부 파일을 삭제하시기 바랍니다.
- C:\WINDOWS\system32\Micro Soft
- C:\WINDOWS\system32\Micro Soft\msdcsc.exe
(3) 실행되지 않는 레지스트리 편집기(regedit)를 실행하기 위해서는 CMD 창에 "REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f" 명령어를 입력하시기 바랍니다.
(4) (3)번 조치가 완료된 후, 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 수정 및 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Enigma Protector
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MicroUpdate = C:\WINDOWS\system32\Micro Soft\msdcsc.exe
HKEY_CURRENT_USER\Software\Toro Engine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전(기본값)
- Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Micro Soft\msdcsc.exe :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DisableNotifications = 0
- EnableFirewall = 0
참고로 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" 값 데이터에서는 "C:\WINDOWS\system32\Micro Soft\msdcsc.exe" 값만 삭제 처리하시고 기본값은 유지하시기 바랍니다.
2. Cam.exe (MD5 : 13fa8c5631d364b8229066d5518511cc) - AhnLab V3 : Win-Trojan/Scar.109568.U (VirusTotal : 35/41)
두 번째로 도쿄 방송에 나오는 티아라를 볼 수 있는 것처럼 위장한 Cam.exe 악성 파일은 서버(Server) 파일로 중국(China)에서 제작된 툴을 이용하여 제작된 것으로 추정됩니다.
사용자가 파일을 실행할 경우 감염 과정에서 "180.227.114.188" C&C 서버로 컴퓨터 이름, 운영 체제 종류, 메모리 용량, CPU 속도 정보를 전송하고 있으며 "vip2010-0818"이라는 공통된 문자열을 포함하고 있습니다.
C:\WINDOWS\system32\bontos.exe
- MD5 : 13fa8c5631d364b8229066d5518511cc
- AhnLab V3 : Win-Trojan/Scar.109568.U (VirusTotal : 35/41)
※ 해당 파일은 (6자리 영문).exe 형태입니다.
다운로드된 Cam.exe 파일은 시스템 폴더에 랜덤(Random)한 6자리 영문 실행 파일로 자가 복제됩니다.
생성된 파일은 "Nationaliki(Nationalkja Instruments Domain Service)" 서비스 항목에 등록되어 시스템 시작시 "C:\WINDOWS\system32\(6자리 영문).exe" 파일을 자동으로 실행하도록 제작되어 있습니다.
이를 통해 메모리에 상주한 서비스 파일은 국내 "180.227.114.188" C&C 서버와 연결하여 추가적인 공격자 명령어 따라 악의적인 동작이 예상됩니다.
해당 악성코드를 수동으로 처리하기 위해서는 다음과 같은 절차에 따라 해결하시기 바랍니다.
(1) 서비스(services.msc) 항목에서 "Nationaliki(Nationalkja Instruments Domain Service)" 항목에 등록된 실행 파일 경로를 확인하여 시스템 폴더에 생성된 "C:\WINDOWS\system32\(6자리 영문).exe" 파일명을 확인하시기 바랍니다.
(2) 실행창에 [sc stop "Nationaliki"], [sc delete "Nationaliki"] 명령어를 순서대로 입력하여 실행 중인 서비스 중지 및 서비스 삭제를 하시기 바랍니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NATIONALIKI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationaliki
(3) (1)번에서 확인한 "C:\WINDOWS\system32\(6자리 영문).exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.
위와 같은 모든 절차가 완료된 이후에는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.
이번 사례와 같이 사회적 이슈로 인해 생성된 카페를 통해 사용자들에게 호기심을 유발하는 파일 링크를 제시하여 다운로드 및 실행을 유발하는 사례가 확인되고 있으므로 주의하시기 바랍니다.