울지않는벌새 : Security, Movie & Society

티아라 구타 사진으로 위장한 악성코드 유포 주의 (2012.8.1)

벌새::Analysis

여성 걸그룹 티아라 멤버였던 화영 퇴출을 계기로 만들어진 "티진요(티아라에게 진실을 요구합니다)" 카페에서 티아라 구타 사진으로 위장한 악성 파일이 유포되고 있는 것을 확인하였습니다.

 

  여성 걸그룹 티아라 이슈를 이용한 백도어(Backdoor) 유포 주의 (2012.7.31)

 

  티진요 카페를 이용한 악성코드 유포 주의 (2012.7.31)

 

참고로 티아라, 티진요와 관련한 사회적 이슈가 나오면서 호기심을 자극하는 방식으로 다양한 악성코드가 유포되고 있는 것으로 확인되고 있습니다. 

유포 방식을 확인해보면 카페 게시글에 보자 말라는 제목으로 게시하여 호기심을 유발하고 있으며, 다운로드되는 파일은 2012년 7월 30일 오후 5시경 특정 네이버(Naver) 블로그의 첨부 파일로 확인되고 있습니다.

  • 구타사진.jpg.exe (MD5 : ac92e5d6d0036a35d937bb4fa661634f) - AhnLab V3 : Trojan/Win32.Hupigon (VirusTotal : 19/40)

다운로드된 파일은 윈도우(Windows) 기본값 환경인 경우 "구타사진.jpg"로 표시되어 그림 파일로 사용자 눈을 속이고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\258828_lang.dll
 - MD5 : 122f1b9b2e78f3156d9344104d1963bc
 - AhnLab V3 : Trojan/Win32.OnlineGameHack
※ 해당 파일은 랜덤(Random)한 MD5값과 "(6자리 숫자)_lang.dll" 형태입니다.

 

C:\WINDOWS\system32\drivers\oreans32.sys :: 정상 파일
 - MD5 : b99575d16f887883b821d372ff292c20

 

C:\WINDOWS\system32\inuqbjvqf.exe
 - MD5 : a8b9530db9976572a79e32b721f5fbce
 - AhnLab V3 : Trojan/Win32.Hupigon
※ 해당 파일은 랜덤(Random)한 MD5값과 "in(7자리 영문).exe" 형태입니다.

 

C:\WINDOWS\system32\inuqbjvqf.exe_lang.ini

※ 해당 파일은 "in(7자리 영문).exe_lang.ini" 형태입니다.

 

C:\WINDOWS\system32\syslog.dat

 

다운로드된 악성 파일을 실행할 경우, 시스템 드라이버 폴더에 "C:\WINDOWS\system32\drivers\oreans32.sys" 드라이버 파일을 생성합니다.(※ 해당 파일은 Themida와 같은 소프트웨어 보호툴에서 주로 사용되는 정상적인 드라이버 파일입니다.)

 

그 후 시스템 폴더에 "C:\WINDOWS\system32\in(7자리 영문).exe" 파일을 생성하며, 해당 파일은 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(6자리 숫자)_lang.dll" 파일을 생성합니다.

 

1. C:\WINDOWS\system32\in(7자리 영문).exe 

시스템 폴더에 생성된 "in(7자리 영문).exe" 파일은 최초 다운로드한 "구타사진.jpg.exe" 파일에서 사용한 아이콘 모양과 동일한 모양을 하고 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{262BE7A2-B3E0-440b-83EB-7C28B3E6742E}
 - stubpath = C:\WINDOWS\system32\inuqbjvqf.exe

 

※ {262BE7A2-B3E0-440b-83EB-7C28B3E6742E} 값은 랜덤(Random)합니다.

해당 악성 파일(in(7자리 영문).exe)은 자동 실행을 위한 Logon 관련 레지스트리 영역에 자신을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다. 

생성된 파일은 메모리에 상주한 상태로 21초 간격으로 부산(Busan)에 위치한 "14.43.123.186 (tako.serveblog.net)" C&C 서버와 연결을 유지하는 동작을 확인할 수 있습니다. 

또한 "in(7자리 영문).exe" 파일과 함께 생성된 "in(7자리 영문).exe_lang.ini" 파일에는 사용자 이름이 암호화된 상태로 저장되어 있습니다.

 

2. C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(6자리 숫자)_lang.dll 

사용자 계정 폴더 내의 임시 폴더에 생성된 "(6자리 숫자)_lang.dll" 파일은 마이크로소프트(Microsoft) 업체 파일로 위장하고 있으며, "Device Protect Application" 속성값을 가진 중국에서 제작된 PCRat 기능을 하는 서버 파일(Server.dll) 파일입니다. 

또한 해당 파일은 다양한 프로세스에 자신을 추가하는 방식으로 동작하며, 앞서 설명한 "C:\WINDOWS\system32\in(7자리 영문).exe" 파일이 메모리에 상주하여 사용자가 입력한 키로깅 값을 가로채는 기능과 연동되어 있습니다. 

수집된 키로깅 정보는 "C:\WINDOWS\system32\syslog.dat" 파일에 암호화된 형태로 저장이 이루어지며, 차후 공격자가 해당 파일을 전송 받아 정보 유출에 악용될 것으로 보입니다.

 

위와 같은 악성코드 감염시에는 랜덤(Random)한 파일명으로 파일이 생성되므로, 되도록 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 통해 치료를 하시기 바랍니다.

 

수동으로 문제 해결을 원하시는 분들은 Windows 작업 관리자를 실행하여 "C:\WINDOWS\system32\in(7자리 영문).exe" 프로세스를 찾아 수동으로 종료한 후, 생성된 파일을 제거하는 방식으로 진행하셔야 합니다.

 

위와 같은 사진 파일로 위장한 악성 파일에 감염된 경우 정보 유출 및 좀비PC로 악용되어 지속적인 피해가 발생할 수 있으므로, 인터넷 상에서 자극적인 것을 보기 위해 검증되지 않은 파일을 함부로 다운로드하여 실행하는 일이 없도록 하시기 바랍니다.