울지않는벌새 : Security, Movie & Society

글자수 세기 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.10.9)

벌새::Analysis

국내 특정 업체에서 서비스하는 수익성 프로그램의 배포 목적으로 제작된 글자수 세기 프로그램은 매주 주기적으로 프로그램을 변경하여 사용자 몰래 설치를 하는 것으로 파악되고 있습니다.(※ 예 : 국내 악성코드 : Windows ntwyfor sys x86 (2012.9.29))

 

그런데 이들 프로그램 중에서 수익성 프로그램을 다운로드하는 업데이트 서버 이외에 추가적인 업데이트 서버(root****.co.kr)가 포함되어 있다는 정보를 이전에 소개한 적이 있었습니다.

 

  국내 악성코드 : Windows upsevty sys x86 (2012.9.29)

 

이전에 "Windows upsevty sys x86" 악성 프로그램을 확인할 당시에는 root****.co.kr 서버를 통한 추가적인 다운로드 행위가 확인되지 않았지만, 최근(2012년 10월 4일경) 다운로드 기능을 가진 악성 파일을 배포하는 부분이 확인되어 정보를 공개하도록 하겠습니다. 

"Windows upsevty sys x86" 프로그램(MD5 : 9041c9f960bc0434107643f8cfc31150)이 설치되면 "C:\Program Files\upsevty\upsevtymds.exe" 파일을 통해 다수의 수익성 프로그램이 사용자 몰래 설치됩니다. 

이 과정에서 upsevtymds.exe 파일은 추가적인 업데이트 서버(root****.co.kr)에서 정보를 받아 다음과 같은 다운로드 동작이 이루어집니다. 

  • h**p://**service.co.kr/********/cncnt.exe (MD5 : 2ce2ffcb50fb2bfe12c4a9322c22c80c) - AhnLab V3 : Trojan/Win32.FraudLoad (VirusTotal : 6/42)

다운로드된 cncnt.exe 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\cncnt.exe" 위치에 자신을 생성합니다. 

해당 파일은 카페24(Cafe24) 웹 호스팅 서비스의 특정 도메인에 등록된 추가적인 악성 파일을 다운로드하도록 제작되어 있는 것을 확인할 수 있습니다. 

  • h**p://ask3398.cafe24.com/*.exe (MD5 : 8e3d83fa6c90c28ae9d8991b92434952) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 14/43)

최종적으로 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\axv.exe" 파일로 자가 복제하여 다음과 같은 악성 프로그램을 생성한 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa
C:\Documents and Settings\All Users\시작 메뉴\프로그램\alexa\Uninstall alexa.lnk
C:\WINDOWS\system32\IETimes.txt
C:\WINDOWS\system32\Uninstall alexa.exe
C:\WINDOWS\system32\WindowsDriver.dll

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WindowsDriver = WindowsDriver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWSDRIVER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDriver

 

  alexa 프로그램으로 위장한 WindowsDriver.dll 악성 파일 유포 주의 (2012.6.10)

 

생성된 파일 정보를 살펴보면 예전에 alexa 프로그램으로 위장하여 특정 온라인 게임을 표적으로 한 악성코드임을 짐작할 수 있습니다. 

감염이 완료된 이후에는 설치 과정 카운터(Counter) 정보를 국내 특정 서버(**service.co.kr)로 전송하며, 해당 서버는 root****.co.kr 서버와 동일한 곳임을 확인할 수 있습니다. 

설치된 악성 프로그램은 "WindowsDriver" 서비스 항목을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있으며, 이 과정에서 다음과 같은 악의적인 기능을 수행합니다. 

서비스 실행시마다 "C:\WINDOWS\system32\quanskp.sys" 악성 드라이버 파일을 생성하여 AhnLab V3, 네이버 백신(Naver Vaccine), 알약(ALYac) 백신 프로그램에 대한 무력화 기능을 수행하고 자가 삭제 처리됩니다.(※ v3lsvc.exe, v3ltray.exe, v3light.exe, v3medic.exe, naveragent.exe, nvcupgrader.exe, alupdate.exe)

 

참고로 quanskp.sys(MD5 : 974aad11aaff3ac5182c21e76b59d24a) 파일에 대하여 Microsoft 보안 제품에서는 VirTool:WinNT/Xiaoho (VirusTotal : 7/43) 진단명으로 진단되고 있습니다.

 

이를 통해 실시간 감시단에서 해당 파일을 진단하지 못할 경우 자가 보호 기능이 ON 상태일지라도 백신 프로그램 종료 및 실행이 불가능하게 됩니다. 

자동 실행된 "WindowsDriver" 서비스는 "C:\WINDOWS\system32\svchost.exe" 서비스 파일에 "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 인젝션하여 동작하는 것을 확인할 수 있습니다. 

생성된 "C:\WINDOWS\system32\WindowsDriver.dll" 파일은 숨김(H) 속성값을 가지고 있으며, 백신 프로그램을 통한 파일 수집 및 진단을 회피할 목적으로 랜덤(Random)한 파일 크기(75MB 이상)를 가지는 것이 특징입니다. 

이를 통해 해당 악성코드는 국내 "112.175.100.221 :1058" C&C 서버와 연결을 하는 동작을 확인할 수 있으며, 차후 특정 온라인 게임 접속 등의 조건이 만족될 경우 추가적인 악성 파일 다운로드 및 정보 유출이 예상됩니다. 

 

사용자 PC에서 감염 여부를 빠르게 확인할 수 있는 방법은 프로그램 목록에 "alexa - Uninstall alexa" 항목이 등록되어 있는 경우 감염을 의심해 보시기 바랍니다. 

참고로 사용자가 alexa 프로그램을 삭제하기 위해 "Uninstall alexa" 메뉴를 클릭할 경우에는 "C:\WINDOWS\system32\Uninstall alexa.exe" 파일을 실행하여 의미없는 3개의 파일값만 제거하며, 악성 기능을 하는 "C:\WINDOWS\system32\WindowsDriver.dll" 파일은 여전히 유지됩니다.

 

그러므로 백신을 통한 악성 파일 치료가 되지 않는 경우에는 다음과 같은 절차에 따라 악성 파일을 제거하시기 바랍니다.

 

(1) 실행창에 [sc stop "WindowsDriver"][sc delete "WindowsDriver"] 명령어를 입력하여 서비스 중지 및 삭제를 하시기 바랍니다. 

 

(2) 폴더 옵션에서 "숨김 파일 및 폴더 표시"에 체크를 하시고, 윈도우 탐색기를 통해 "C:\WINDOWS\system32\WindowsDriver.dll" 파일을 삭제하시기 바랍니다. 

그 후에는 백신 프로그램을 실행하여 최신 업데이트를 한 후 정밀 검사를 통해 추가적인 악성 파일이 존재한지 반드시 확인을 하시기 바랍니다.

 

이번 감염 사례는 국내에서 제작된 애드웨어(Adware) 프로그램을 통해 설치가 이루어지므로 PC에 광고 프로그램을 비롯하여 신뢰할 수 없는 프로그램은 반드시 삭제를 하시기 바랍니다.

 

또한 해당 악성코드 계열은 이전부터 지속적으로 백신 프로그램의 진단을 우회하여 유포가 이루어지고 있으며, 중국(China) 계열의 유포자가 아닌 국내인의 소행이 아닌가 의심이 되고 있습니다.