본문 바로가기

벌새::Analysis

글자수 세기 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.10.9)

국내 특정 업체에서 서비스하는 수익성 프로그램의 배포 목적으로 제작된 글자수 세기 프로그램은 매주 주기적으로 프로그램을 변경하여 사용자 몰래 설치를 하는 것으로 파악되고 있습니다.(※ 예 : 국내 악성코드 : Windows ntwyfor sys x86 (2012.9.29))

 

그런데 이들 프로그램 중에서 수익성 프로그램을 다운로드하는 업데이트 서버 이외에 추가적인 업데이트 서버(root****.co.kr)가 포함되어 있다는 정보를 이전에 소개한 적이 있었습니다.

 

  국내 악성코드 : Windows upsevty sys x86 (2012.9.29)

 

이전에 "Windows upsevty sys x86" 악성 프로그램을 확인할 당시에는 root****.co.kr 서버를 통한 추가적인 다운로드 행위가 확인되지 않았지만, 최근(2012년 10월 4일경) 다운로드 기능을 가진 악성 파일을 배포하는 부분이 확인되어 정보를 공개하도록 하겠습니다. 

"Windows upsevty sys x86" 프로그램(MD5 : 9041c9f960bc0434107643f8cfc31150)이 설치되면 "C:\Program Files\upsevty\upsevtymds.exe" 파일을 통해 다수의 수익성 프로그램이 사용자 몰래 설치됩니다. 

이 과정에서 upsevtymds.exe 파일은 추가적인 업데이트 서버(root****.co.kr)에서 정보를 받아 다음과 같은 다운로드 동작이 이루어집니다. 

  • h**p://**service.co.kr/********/cncnt.exe (MD5 : 2ce2ffcb50fb2bfe12c4a9322c22c80c) - AhnLab V3 : Trojan/Win32.FraudLoad (VirusTotal : 6/42)

다운로드된 cncnt.exe 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\cncnt.exe" 위치에 자신을 생성합니다. 

해당 파일은 카페24(Cafe24) 웹 호스팅 서비스의 특정 도메인에 등록된 추가적인 악성 파일을 다운로드하도록 제작되어 있는 것을 확인할 수 있습니다. 

  • h**p://ask3398.cafe24.com/*.exe (MD5 : 8e3d83fa6c90c28ae9d8991b92434952) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 14/43)

최종적으로 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\axv.exe" 파일로 자가 복제하여 다음과 같은 악성 프로그램을 생성한 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa
C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa\Uninstall alexa.lnk
C:\WINDOWS\system32\IETimes.txt
C:\WINDOWS\system32\Uninstall alexa.exe
C:\WINDOWS\system32\WindowsDriver.dll

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WindowsDriver = WindowsDriver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWSDRIVER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDriver

 

  alexa 프로그램으로 위장한 WindowsDriver.dll 악성 파일 유포 주의 (2012.6.10)

 

생성된 파일 정보를 살펴보면 예전에 alexa 프로그램으로 위장하여 특정 온라인 게임을 표적으로 한 악성코드임을 짐작할 수 있습니다. 

감염이 완료된 이후에는 설치 과정 카운터(Counter) 정보를 국내 특정 서버(**service.co.kr)로 전송하며, 해당 서버는 root****.co.kr 서버와 동일한 곳임을 확인할 수 있습니다. 

설치된 악성 프로그램은 "WindowsDriver" 서비스 항목을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있으며, 이 과정에서 다음과 같은 악의적인 기능을 수행합니다. 

서비스 실행시마다 "C:\WINDOWS\system32\quanskp.sys" 악성 드라이버 파일을 생성하여 AhnLab V3, 네이버 백신(Naver Vaccine), 알약(ALYac) 백신 프로그램에 대한 무력화 기능을 수행하고 자가 삭제 처리됩니다.(※ v3lsvc.exe, v3ltray.exe, v3light.exe, v3medic.exe, naveragent.exe, nvcupgrader.exe, alupdate.exe)

 

참고로 quanskp.sys(MD5 : 974aad11aaff3ac5182c21e76b59d24a) 파일에 대하여 Microsoft 보안 제품에서는 VirTool:WinNT/Xiaoho (VirusTotal : 7/43) 진단명으로 진단되고 있습니다.

 

이를 통해 실시간 감시단에서 해당 파일을 진단하지 못할 경우 자가 보호 기능이 ON 상태일지라도 백신 프로그램 종료 및 실행이 불가능하게 됩니다. 

자동 실행된 "WindowsDriver" 서비스는 "C:\WINDOWS\system32\svchost.exe" 서비스 파일에 "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 인젝션하여 동작하는 것을 확인할 수 있습니다. 

생성된 "C:\WINDOWS\system32\WindowsDriver.dll" 파일은 숨김(H) 속성값을 가지고 있으며, 백신 프로그램을 통한 파일 수집 및 진단을 회피할 목적으로 랜덤(Random)한 파일 크기(75MB 이상)를 가지는 것이 특징입니다. 

이를 통해 해당 악성코드는 국내 "112.175.100.221 :1058" C&C 서버와 연결을 하는 동작을 확인할 수 있으며, 차후 특정 온라인 게임 접속 등의 조건이 만족될 경우 추가적인 악성 파일 다운로드 및 정보 유출이 예상됩니다. 

 

사용자 PC에서 감염 여부를 빠르게 확인할 수 있는 방법은 프로그램 목록에 "alexa - Uninstall alexa" 항목이 등록되어 있는 경우 감염을 의심해 보시기 바랍니다. 

참고로 사용자가 alexa 프로그램을 삭제하기 위해 "Uninstall alexa" 메뉴를 클릭할 경우에는 "C:\WINDOWS\system32\Uninstall alexa.exe" 파일을 실행하여 의미없는 3개의 파일값만 제거하며, 악성 기능을 하는 "C:\WINDOWS\system32\WindowsDriver.dll" 파일은 여전히 유지됩니다.

 

그러므로 백신을 통한 악성 파일 치료가 되지 않는 경우에는 다음과 같은 절차에 따라 악성 파일을 제거하시기 바랍니다.

 

(1) 실행창에 [sc stop "WindowsDriver"][sc delete "WindowsDriver"] 명령어를 입력하여 서비스 중지 및 삭제를 하시기 바랍니다. 

 

(2) 폴더 옵션에서 "숨김 파일 및 폴더 표시"에 체크를 하시고, 윈도우 탐색기를 통해 "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 삭제하시기 바랍니다. 

그 후에는 백신 프로그램을 실행하여 최신 업데이트를 한 후 정밀 검사를 통해 추가적인 악성 파일이 존재한지 반드시 확인을 하시기 바랍니다.

 

이번 감염 사례는 국내에서 제작된 애드웨어(Adware) 프로그램을 통해 설치가 이루어지므로 PC에 광고 프로그램을 비롯하여 신뢰할 수 없는 프로그램은 반드시 삭제를 하시기 바랍니다.

 

또한 해당 악성코드 계열은 이전부터 지속적으로 백신 프로그램의 진단을 우회하여 유포가 이루어지고 있으며, 중국(China) 계열의 유포자가 아닌 국내인의 소행이 아닌가 의심이 되고 있습니다.