본문 바로가기

벌새::Analysis

윈도우 최적화 프로그램을 이용한 백도어(Backdoor) 유포 주의 (2012.9.28)

다수의 도용된 네이버(Naver) 계정을 이용하여 네이버 카페를 중심으로 윈도우 최적화 프로그램을 위장한 악성 파일이 전파되는 것을 확인하였습니다. 

유포 방식을 살펴보면 네이버 카페에 그림과 같은 그림 배너를 등록하고 컴퓨터 보안을 위해 클릭을 하도록 유도하고 있습니다. 

그림 배너를 클릭할 경우 특정 웹 호스팅 서버 계정에 등록된 "윈도우최적화.exe" 파일(MD5 : e81a10c0c7aeacbc83837f3898cc7b21)이 다운로드되는 것을 확인할 수 있으며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 3/43) 진단명으로 진단되고 있습니다.

 

참고로 해당 파일은 2012년 9월 25일 오후 11경부터 파일의 존재가 확인되고 있는 것으로 파악됩니다. 

사용자가 다운로드된 파일을 실행할 경우 윈도우 최적화 프로그램을 "C:\Program Files\Foruser Soft" 폴더에 설치하는 것으로 안내하고 있으며, 파일 경로상 국내에서 제작된 시스템 최적화 프로그램 "이지클린"으로 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\윈도우최적화.LNK
C:\Program Files\Foruser Soft
C:\Program Files\Foruser Soft\AS58
C:\Program Files\Foruser Soft\BrwnExit.exe
C:\Program Files\Foruser Soft\ezclean.exe
C:\Program Files\Foruser Soft\msvbvm60.dll
C:\Program Files\Foruser Soft\Uninstall.exe
C:\Program Files\Foruser Soft\update6.exe
C:\Program Files\Foruser Soft\VB6KO.DLL
C:\Program Files\Foruser Soft\사용권계약서.txt
C:\Program Files\scvhost.exe
C:\WINDOWS\IFinst27.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\scvhost.exe
 - MD5 : 40e483c429b8aa7a68d84ddf919d7bae
 - 알약(ALYac) : Backdoor.IRCbot.1064960 (VirusTotal : 7/43)

설치가 완료된 상태에서 바탕 화면에 생성된 "윈도우최적화" 바로가기 아이콘을 실행하면 "이지클린" 실행 관련 오류창만 생성되는 것을 확인할 수 있습니다.

 

이는 해당 설치 파일이 이지클린 프로그램을 "C:\Program Files\Foruser Soft" 폴더에 생성하지만, 동작에 필요한 레지스트리 값 등록은 전혀하지 않는 눈속임 목적으로 보입니다. 

대신 이지클린 설치 과정에서 사용자 몰래 "C:\Program Files\scvhost.exe" 악성 파일을 생성하는 동작을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - System32 = C:\Program Files\scvhost.exe

해당 파일은 정상적인 "C:\WINDOWS\system32\svchost.exe" 시스템 파일과 유사한 이름으로 등록하여 사용자에게 혼동을 유발하고 있으며, Windows 시작시 해당 파일을 시작 프로그램 등록값(System32)으로 등록하여 자동 실행되도록 구성되어 있습니다. 

실행된 scvhost.exe 악성 파일은 메모리에 상주하여 3분 단위로 "121.183.110.147 :8100" C&C 서버와 연결을 유지하는 동작을 확인할 수 있습니다. 

해당 연결을 자세히 살펴보면 scvhost.exe 악성 파일은 "sos02181.dothome.co.kr(112.175.184.59)" 서버를 통해 연결 구성값(121.183.110.147)을 받아오는 것을 확인할 수 있습니다.

 

이를 통해 공격자의 의도에 따라 추가적인 악의적 행위가 발생할 가능성이 높으므로, 사용자 PC를 확인하여 악성 파일에 감염되었을 경우에는 백신 프로그램을 이용하여 치료를 하시기 바랍니다.

  • 이지클린 제법 유명한 프로그램이라고 알고 있는데.. 이런 줄은 헐..ㅎ

    역시 실시간감시는 항상 켜놔야겠군요.
    카스퍼스키쓰는데, 좀 무거운 감이 없지않아 있지만.ㅡㅜ

  • 비밀댓글입니다

    • 일단 이 글은 동적 분석 방식으로 작성했으므로 분석툴 사용법과 다양한 악성 파일을 직접 경험하면서 조금씩 경험을 쌓는 것이 중요하겠죠.

      정적 분석을 위해서는 전문 서적을 통해 리버싱 공부를 하셔야 합니다.

  • 비밀댓글입니다

  • 질문드려요. 2013.05.07 01:18 댓글주소 수정/삭제 댓글쓰기

    잘 사용하던 이지클린이 어제부터 갑자기 실행되지 않아 V3 돌려봐도 깨끗했어요.
    그래서 지우고 다시 이지클린 설치했는데 아무리 아이콘 클릭해도 실행되지 않아
    다시 삭제하려고 하니 이번엔 삭제마져 되지 않아 파일과 폴더이름까지 바꾸고
    Unlocker로 삭제하려 하니 삭제가 되지 않는 다며 부팅시 삭제할까요 라는 창이 떠서 확인하고 껏다 켜니 어찌어찌 삭제는 되었네요.

    자료실에 피씨맘이 있던데 이지클린 처럼 사용해도 될까요?

    • 이지클린은 죽은 프로그램이므로 되도록 사용하지 않는 것이 좋습니다.

      차라리 Daum 클리너(http://cleaner.daum.net/) 또는 네이버 클리너(http://tools.naver.com/service/cleaner/index.nhn)를 사용해 보시기 바랍니다.

  • 질문드려요. 2013.05.07 18:35 댓글주소 수정/삭제 댓글쓰기

    네에 다음클리너 사용해야 겠네요. 답변 감사합니다~