울지않는벌새 : Security, Movie & Society

nMvjtt 서비스를 이용한 악성코드 유포 주의 (2012.8.17)

벌새::Analysis

2012년 6월 4일경 네이버(Naver) 지식인 답변 또는 국내 북한 정보 관련 사이트의 게시판에 악성 파일 링크(URL)를 등록하여 감염을 유발시키는 행위가 확인되었으며, 현재 이 시간에도 여전히 살아 있는 것으로 확인되고 있습니다. 

유포 사이트에서는 중국(China)인으로 추정되는 인물이 미국(USA) 웹 호스팅에 등록한 특정 사이트에 업로드된 악성 파일을 다운로드 하도록 작성되어 있는 것을 확인할 수 있습니다. 

  • h**p://****188.com/yb017.exe (MD5 : 2163ce84ab9ffd9dbd83a2e897d2bb21) - 알약(ALYac) : Backdoor.Zegost.B (VirusTotal : 28/42)

다운로드된 파일은 메모장 아이콘 모양을 하고 있으며, Heaventools Software 업체의 PE Explorer 프로그램 관련 파일로 위장을 하고 있는 것을 확인할 수 있습니다.

 

파일을 실행할 경우 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\kb-186625.tmp" 임시 파일을 생성하여, 보안 제품의 진단을 우회할 목적으로 파일 크기를 30MB 이상으로 확장한 후 다음과 같이 생성합니다.

 

[생성 폴더(파일) 및 진단 정보]

 

C:\Program Files\Tgwcf
C:\Program Files\Tgwcf\Xinqe.dll :: 숨김(H) 속성
 - MD5 : ce98ccb5425c709b9c279fccc254e5e2
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 16/42)

※ 해당 폴더, 파일, MD5 값은 랜덤(Random)하며, (5자리 영문) 형태로 구성되어 있습니다.

 

C:\WINDOWS\system32\bak8011252.log
C:\WINDOWS\system32\WinX86.log

생성된 파일은 "nMvjtt(Nwda ubcw)" 서비스 항목을 등록하여 시스템 시작시 svchost.exe 서비스 파일을 추가하여 "C:\Program Files\Tgwcf\Xinqe.dll" 파일을 실행하도록 제작되어 있습니다. 

이를 통해 미국(USA)에 위치한 "96.127.191.30(newmoney788.com)" 서버에 25초 간격으로 연결을 시도합니다. 

연결된 서버에서는 추가적인 list.txt 파일을 다운로드하여 암호화된 구성값을 참조하여 추가적인 다운로드를 시도하는 것으로 보이지만, 현재 테스트 과정에서는 정상적으로 연결되지 않는 것으로 보입니다.

 

또한 국내에 등록된 "112.219.99.211:617" C&C 서버와 주기적으로 연결을 시도하는 동작을 확인할 수 있습니다. 

생성된 파일을 확인해보면 "C:\Program Files\(5자리 영문)" 폴더에 숨김(H) 속성값을 가지는 "(5자리 영문).dll" 파일을 생성하며, 파일 속성값에서는 PE Explorer Helper DLL 파일로 위장하고 있습니다.

 

해당 파일의 Stamp 날짜는 2012년 5월 10일경에 제작된 것으로 보이며, 중국(China) 계열 도구로 제작된 것으로 추정됩니다. 

해당 DLL 파일의 String 값을 확인해보면 "d:\gamer\GameInstall.xml" 값이 존재하므로 감염된 PC에 설치된 온라인 게임 정보를 통해 추가적인 악의적 동작으로 연결되리라 추정됩니다.

 

해당 악성코드는 감염시 랜덤(Random)한 값으로 생성되어 수동으로 문제 해결에는 어려움이 예상되므로, 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.

 

만약 수동으로 문제 해결 및 감염 여부를 체크하기 위해서는 다음과 같은 절차에 따라 주시기 바랍니다.

 

(1) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nMvjtt\Parameters

\ServiceDll" 값에 등록된 랜덤(Random) 파일 위치를 확인하시기 바랍니다. 

 

(2) 실행창에 [sc stop "nMvjtt"] → [sc delete "nMvjtt"] 명령어를 순서대로 입력하여 등록된 "nMvjtt" 서비스를 중지 및 삭제합니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NMVJTT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nMvjtt

(3) (1)번에서 확인한 파일 위치를 참조하여 윈도우 탐색기를 실행하여 해당 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

모든 절차가 완료된 사용자는 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 반드시 하시길 바라며, 인터넷 상에서 동영상 감상을 위한 신뢰할 수 없는 프로그램(파일) 다운로드를 유도할 경우에는 함부로 실행하는 일이 없도록 주의하시기 바랍니다.