울지않는벌새 : Security, Movie & Society

FlashUpdater.exe 파일을 이용한 프로그램 정보 수집 악성코드 유포 주의 (2012.8.9)

벌새::Analysis

최근 네이버(Naver) 블로그의 게시글을 통해 변조된 패스트핑(FastPing) 설치 파일을 첨부 파일로 등록하여 사용자가 실행시 감염을 유도하는 사례가 빈번하게 발생하고 있습니다.

 

이번에 확인된 악성코드는 Adobe Flash Player 프로그램의 업데이트 파일로 위장하여 사용자가 실행한 응용 프로그램의 정보를 수집하여 외부로 전송하는 기능을 가지고 있습니다. 

  • fastpingsetup.exe (MD5 : bad5ef7db4053af8ffa884b29365c423) - AhnLab V3 : Dropper/Win32.Mudrop (VirusTotal : 8/42)

유포 방식을 해킹(?)된 네이버(Naver) 계정 블로그를 이용하여 변조된 패스트핑(FastPing) 설치 파일을 첨부 파일로 등록하고 있습니다. 

 

[생성 파일 및 진단 정보]

 

C:\Program Files\Company\fastpingsetup\Installer2.exe
 - MD5 : ac7809d9d30bf926b0330aba54c0f2fd
 - 알약(ALYac) : Trojan.Downloader.331264 (VirusTotal : 3/42)

 

C:\Program Files\Company\fastpingsetup\fastpingsetup.exe :: FastPing 정상 설치 파일

 

사용자가 다운로드된 설치 파일을 실행할 경우 화면 상에는 "C:\Program Files\Company\fastpingsetup\fastpingsetup.exe" 패스트핑(FastPing) 정상 설치 파일을 통해 설치 단계가 진행되는 것처럼 보여줍니다. 

이 과정에서 "C:\Program Files\Company\fastpingsetup\Installer2.exe" 악성 파일을 추가로 생성하여 다음과 같은 악의적인 동작을 진행하게 되며, 화면 상에서는 "Windows XP 설치" 메시지 창이 생성되는 특징이 있습니다. 

  • h**p://xxaa23.com/*********/btn2.gif (MD5 : 5ac11b7c7fc33e50eb85bfbd406fbd23) - 알약(ALYac) : Trojan.Infostealer.AFU (VirusTotal : 4/42)

Installer2.exe 악성 파일은 일본(Japan)에 호스팅된 "xxaa23.com (114.108.150.74)" 서버로부터 추가적인 악성 파일을 다운로드하는 동작을 확인할 수 있습니다. 

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\Macromed\Flash\FlashUpdater.exe
 - MD5 : 5ac11b7c7fc33e50eb85bfbd406fbd23
 - 알약(ALYac) : Trojan.Infostealer.AFU (VirusTotal : 4/42)

 

[생성 레지스트리 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
 - C:\WINDOWS\SYSTEM32\Macromed\Flash\FlashUpdater.exe = (사용자 OS 종류) RUNASADMIN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Adobe Flash Updater = C:\WINDOWS\SYSTEM32\Macromed\Flash\FlashUpdater.exe

 

다운로드된 파일(btn2.gif)은 "C:\WINDOWS\system32\Macromed\Flash\FlashUpdater.exe" 파일로 복제되어, Windows 시작시 FlashUpdater.exe 파일을 시작 프로그램(Adobe Flash Updater)으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

참고로 "C:\WINDOWS\system32\Macromed\Flash" 폴더는 Adobe Flash Player 제품의 정상적인 폴더이며, 정상적인 환경에서는 "AdobeFlashPlayerUpdateSvc(Adobe Flash Player Update Service)" 서비스 항목을 등록하여 "C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe" 서비스 파일을 자동으로 실행하여 업데이트 기능을 담당하고 있습니다. 

이렇게 실행된 FlashUpdater.exe 파일은 30초 간격으로 일본(Japan)에 등록된 "ddeerr.com:5080 (218.54.28.200)" 웹 호스팅 주소로 사용자가 실행한 응용 프로그램 정보와 컴퓨터 이름을 주기적으로 전송하는 정보 수집형 악성 파일로 확인되고 있습니다. 

하지만 실제 감염되어 연결된 C&C 서버(218.54.28.200:5080) IP는 국내 소유가 아닌가 의심이 되고 있습니다. 

해당 악성코드 유포자에 대한 정보를 조사하던 중 발견된 부분을 확인해보면 일본(Japan) 웹 호스팅에 등록된 불법 도박 사이트가 확인되고 있으며, 공격자는 악성코드 감염을 통해 사용자의 PC 활동을 감시하여 수익으로 연결될 수 있는 부분(온라인 게임 실행 등)이 존재할 경우 추가적인 피해를 유발할 수 있으리라 보입니다.