국내 블로그 서비스를 이용하여 인터넷 사용자가 많이 찾는 소프트웨어 설치 파일을 변조하여 다운로드를 유도하여, 사용자가 파일을 실행시 설치 화면이 보이는 과정에서 백그라운드 방식으로 몰래 감염을 시키는 사례가 일반적으로 이용되고 있습니다.
최근 2012년 1월~5월경까지 특정 블로그에 30여개의 게시물을 통해 특정 온라인 게임(※ 한게임 추정)을 표적으로 한 악성코드 유포 행위가 지속되고 있는 부분을 확인하였습니다.
그 중에서 "한게임 자동 채널 입장 프로그램"으로 위장한 악성 파일을 통해 살펴보도록 하겠습니다.
참고로 해당 블로그 첨부 파일(MD5 : b8a8d11e7e2e5ba3017ca3fe23daa304)에 대하여 BitDefender 보안 제품에서는 Dropped:Trojan.Generic.7429647 (VirusTotal : 19/44) 진단명으로 진단되고 있습니다.
다운로드된 첨부 파일을 실행하면 "광크리 1" 설치 화면이 생성되며, 이 과정에서 백그라운드 방식으로 악성 파일이 자동으로 감염됩니다.
- subimstall.exe (MD5 : 56856d534caf1c707061a4b64bcaacad) - AhnLab V3 : ASD.Prevention (VirusTotal : 21/44)
설치 파일 내부에 포함된 파일을 확인해보면 블로그 첨부 파일 내부에는 Install광크리.exe(광크리 1 설치 파일) 이외에 subimstall.exe 악성 파일이 추가되어 있는 것을 확인할 수 있습니다.
- ktsload.exe (MD5 : f31f338e5a6ecd51c038776565da84ed) - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 22/43)
- smsdiol.exe (MD5 : 625e6fa3902ad1f459394a681be1c22d) - AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 2/36)
해당 subimstall.exe 파일 내부에는 Trojan/Win32.PbBot 계열의 악성 파일(ktsload.exe, smsdiol.exe)이 포함되어 있습니다.
이를 통해 사용자가 블로그 첨부 파일을 다운로드하여 실행할 경우 화면 상에는 설치 화면이 제시되지만 다음과 같은 순서에 따라 악성 파일에 감염됩니다.
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\Install광크리.exe :: 광크리 1 설치 파일
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\subimstall.exe :: 자가 삭제
임시 폴더에 생성된 subimstall.exe 파일은 다음의 폴더에 악성 파일을 생성한 후 자가 삭제 처리됩니다.
C:\WINDOWS\system\ktsload.exe
- MD5 : f31f338e5a6ecd51c038776565da84ed)
- AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 22/43)
C:\WINDOWS\system\smsdiol.exe :: 서비스(lls2 systems) 등록 파일
- MD5 : 625e6fa3902ad1f459394a681be1c22d)
- AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 2/36)
C:\WINDOWS\system\svchost.exe :: (= ktsload.exe) / 메모리 상주 프로세스
- MD5 : f31f338e5a6ecd51c038776565da84ed)
- AhnLab V3 : Trojan/Win32.PbBot (VirusTotal : 22/43)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LLS2_
SYSTEMS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lls2 systems
생성된 악성 파일은 "C:\WINDOWS\system" 폴더 내에 생성되며, "lls2 systems" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system\smsdiol.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 smsdiol.exe 서비스 파일은 "C:\WINDOWS\system\ktsload.exe" 파일을 로딩하며, ktsload.exe 파일은 자신을 복제한 "C:\WINDOWS\system\svchost.exe" 파일을 시스템 시작시마다 생성하여 메모리에 상주시킵니다.
이를 통해 정상적인 PC 환경에서 실행되는 "C:\WINDOWS\system32\svchost.exe" 서비스 파일(Generic Host Process for Win32 Services)과 동일한 이름을 통해 사용자의 눈을 속이고 있습니다.
해당 악성코드의 핵심적인 역할을 하는 ktsload.exe 파일 속성값을 살펴보면 "Windows Update Services" 이름으로 등록되어 있는 것이 특징이며, 2012년 1월 25일경에 제작된 것으로 보입니다.
이를 통해 최종적으로 실행된 "C:\WINDOWS\system\svchost.exe" 프로세스는 일본(Japan)에 위치한 웹 호스팅을 이용하는 C&C 서버(ttslove.com/update (210.231.114.165))에서 추가적인 정보를 받아오게 제작되어 있습니다.
하지만 이미 해당 서버는 국가 차원에서 불법 유해 정보 사이트로 지정되어 접속이 차단되어 있는 상태입니다.
파일의 기능을 잠시 살펴보면 게임 서버와 연결되는 부분과 함께 "x:\_tmp\TRTKCollector()\Release\ktsload.pdb" 문자열을 확인할 수 있으며, 정상적인 동작이 이루어진다고 가정하였을 경우 감염자가 특정 온라인 게임에 접속시 해당 게임 정보를 스냅샷 캡처(Snapshot Capture)를 통해 화면 엿보기 등의 정보 유출이 예상됩니다.
악성코드 감염자는 백신 프로그램을 통한 치료를 권장하며, 수동으로 문제를 해결하기 위해서는 다음의 절차를 따르시기 바랍니다.
(1) 마이크로소프트(Microsoft)사에서 제공하는 Process Explorer 툴을 이용하여 "C:\WINDOWS\system\svchost.exe" 프로세스를 찾아 수동으로 종료하시기 바랍니다.
(2) 실행창에 [sc delete "lls2 systems"] 명령어를 입력하여 등록된 악성 서비스를 삭제하시기 바랍니다.
(3) 윈도우 탐색기를 실행하여 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system\ktsload.exe
- C:\WINDOWS\system\smsdiol.exe
- C:\WINDOWS\system\svchost.exe
모든 절차가 완료된 사용자는 반드시 국내외 유명 백신 프로그램을 이용하여 추가적인 정밀 검사를 하시는 것이 안전합니다.
이처럼 국내 블로그의 첨부 파일 또는 링크를 통해 인기 있는 프로그램 설치 파일을 다운로드하여 실행하는 행위는 자칫 악성코드 감염으로 연결될 수 있으므로 되도록 블로그 첨부 파일을 다운로드하여 실행하지 않도록 하시기 바랍니다.