울지않는벌새 : Security, Movie & Society

윈도우 최적화 프로그램을 이용한 백도어(Backdoor) 유포 주의 (2012.9.28)

벌새::Analysis

다수의 도용된 네이버(Naver) 계정을 이용하여 네이버 카페를 중심으로 윈도우 최적화 프로그램을 위장한 악성 파일이 전파되는 것을 확인하였습니다. 

유포 방식을 살펴보면 네이버 카페에 그림과 같은 그림 배너를 등록하고 컴퓨터 보안을 위해 클릭을 하도록 유도하고 있습니다. 

그림 배너를 클릭할 경우 특정 웹 호스팅 서버 계정에 등록된 "윈도우최적화.exe" 파일(MD5 : e81a10c0c7aeacbc83837f3898cc7b21)이 다운로드되는 것을 확인할 수 있으며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 3/43) 진단명으로 진단되고 있습니다.

 

참고로 해당 파일은 2012년 9월 25일 오후 11경부터 파일의 존재가 확인되고 있는 것으로 파악됩니다. 

사용자가 다운로드된 파일을 실행할 경우 윈도우 최적화 프로그램을 "C:\Program Files\Foruser Soft" 폴더에 설치하는 것으로 안내하고 있으며, 파일 경로상 국내에서 제작된 시스템 최적화 프로그램 "이지클린"으로 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\윈도우최적화.LNK
C:\Program Files\Foruser Soft
C:\Program Files\Foruser Soft\AS58
C:\Program Files\Foruser Soft\BrwnExit.exe
C:\Program Files\Foruser Soft\ezclean.exe
C:\Program Files\Foruser Soft\msvbvm60.dll
C:\Program Files\Foruser Soft\Uninstall.exe
C:\Program Files\Foruser Soft\update6.exe
C:\Program Files\Foruser Soft\VB6KO.DLL
C:\Program Files\Foruser Soft\사용권계약서.txt
C:\Program Files\scvhost.exe
C:\WINDOWS\IFinst27.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\scvhost.exe
 - MD5 : 40e483c429b8aa7a68d84ddf919d7bae
 - 알약(ALYac) : Backdoor.IRCbot.1064960 (VirusTotal : 7/43)

설치가 완료된 상태에서 바탕 화면에 생성된 "윈도우최적화" 바로가기 아이콘을 실행하면 "이지클린" 실행 관련 오류창만 생성되는 것을 확인할 수 있습니다.

 

이는 해당 설치 파일이 이지클린 프로그램을 "C:\Program Files\Foruser Soft" 폴더에 생성하지만, 동작에 필요한 레지스트리 값 등록은 전혀하지 않는 눈속임 목적으로 보입니다. 

대신 이지클린 설치 과정에서 사용자 몰래 "C:\Program Files\scvhost.exe" 악성 파일을 생성하는 동작을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - System32 = C:\Program Files\scvhost.exe

해당 파일은 정상적인 "C:\WINDOWS\system32\svchost.exe" 시스템 파일과 유사한 이름으로 등록하여 사용자에게 혼동을 유발하고 있으며, Windows 시작시 해당 파일을 시작 프로그램 등록값(System32)으로 등록하여 자동 실행되도록 구성되어 있습니다. 

실행된 scvhost.exe 악성 파일은 메모리에 상주하여 3분 단위로 "121.183.110.147 :8100" C&C 서버와 연결을 유지하는 동작을 확인할 수 있습니다. 

해당 연결을 자세히 살펴보면 scvhost.exe 악성 파일은 "sos02181.dothome.co.kr(112.175.184.59)" 서버를 통해 연결 구성값(121.183.110.147)을 받아오는 것을 확인할 수 있습니다.

 

이를 통해 공격자의 의도에 따라 추가적인 악의적 행위가 발생할 가능성이 높으므로, 사용자 PC를 확인하여 악성 파일에 감염되었을 경우에는 백신 프로그램을 이용하여 치료를 하시기 바랍니다.