울지않는벌새 : Security, Movie & Society

mshta.exe 프로세스를 이용한 일본 성인 광고 주의 (2012.12.5)

벌새::Analysis

이미 작년(2011년)에도 한 차례 소개를 한 일본 성인 사이트 동영상 감상을 미끼로 한 반복적인 결제 유도창 생성 문제로 고생하시는 분들이 여전히 있는 것으로 보입니다.

 

  hta 파일을 이용한 일본 성인 팝업 광고 주의 (2011.10.29)

 

당시 분석 내용과 최근 확인한 형태를 보면 크게 달라진 부분은 존재하지 않지만, 질문글이 있어서 최근의 패턴에 대해 살펴보도록 하겠습니다.

일본 성인 사이트에서 제공하는 동영상 콘텐츠를 감상하기 위하여 플레이어(Player) 부분을 클릭할 경우 다음의 사이트로 연결이 이루어집니다.

마치 유튜브(YouTube)와 같은 모습을 한 EroTube 웹 사이트에서는 동영상 플레이를 클릭할 경우 분홍색 동의 체크 박스가 포함된 안내창을 생성하여 20세 이상인지 확인하는 절차를 거치도록 일반적으로 제작되어 있습니다.

절차를 통해 동영상 감상을 원할 경우 다음 단계에서는 제공되는 hta 파일을 다운로드하여 실행하도록 유도하고 있습니다.

 

일반적으로 실행 파일(exe)은 조심하는 반면 위와 같은 낯선 확장자 파일은 별 의심없이 실행하는 경우가 문제의 시작이 된다고 볼 수 있습니다.

  • 뛼됪렲벍됪No24426785.hta (MD5 : a8a283a73ddcd5be8f2613543a65610f) - BitDefender : JS:Trojan.Crypt.KG (VirusTotal : 12/46)
  • 뛼됪렲벍됪No26241403.hta (MD5 : 4fc6073e3f2a0a3f8e42d6a87532abb4) - Kaspersky : Trojan-Downloader.HTA.Agent.ce (VirusTotal : 12/45)
  • 뛼됪렲벍됪No52214970.hta (MD5 : d5c0a5d9334348446bd57bdc1fefb16d) - BitDefender : JS:Trojan.Crypt.KG (VirusTotal : 12/46)
  • 뛼됪렲벍됪No55468264.hta (MD5 : c18e5152bb92b6a5070d37624539836d) - avast! : HTML:Agent-BB [Trj] (VirusTotal : 12/46)
  • 뛼됪렲벍됪No77527449.hta (MD5 : 04d10fc49d3293185eacaf170c75077b) - avast! : HTML:Agent-BB [Trj] (VirusTotal : 12/45)

다운로드되는 hta 파일은 동일한 URL 값이지만 매번 랜덤(Random)한 파일명과 Hash 값을 가집니다.

다운로드된 파일을 실행하면 그림과 같은 동영상이 자동으로 재생되는 창이 생성되며, 사용자는 단순히 웹 브라우저를 통해 실행되는 창으로 인식하고 감상을 할 수 있습니다.

 

동영상 감상이 이루어진 후 사용자가 해당 창을 종료하면 정상적으로 창이 종료된 후, 3분이 경과하는 시점에서 다음과 같은 창이 생성됩니다.

해당 창은 특정 사용자 ID(0V662H5A)값을 기반으로 지정된 시간 안에 유료 결제를 통해 PASS 값을 받아서 서비스를 이용하는 것으로 추정됩니다.

 

사용자가 해당 창을 종료하여도 3분 주기로 반복적으로 창이 생성되며, 시스템 재부팅 이후에도 해당 동작은 지속됩니다.

 

이런 문제가 왜 발생하는지 원인과 해결 방법을 간단하게 살펴보도록 하겠습니다.(※ 해결 방법이 나왔다고 이런 파일을 함부로 실행하는 일이 없도록 주의하시기 바랍니다.)

 

[생성 폴더 / 파일 등록 정보 : Windows 7 운영 체제 기준]

 

C:\ProgramData\lktoy
C:\ProgramData\lktoy\0V662H5A.bat
C:\ProgramData\lktoy\0V662H5A.h
C:\ProgramData\lktoy\2.dat
C:\ProgramData\lktoy\bg.jpg
C:\ProgramData\lktoy\resta.bat


※ 0V662H5A 값은 UserID 값이므로 설치된 PC마다 값이 다를 수 있습니다.

최초 다운로드된 hta 파일을 실행하였을 경우 "C:\ProgramData\lktoy" 폴더에 배치 파일이 다수 생성되는 것을 확인할 수 있습니다.(※ Windows XP 운영 체제 사용자의 경우에는 "C:\Documents and Settings\All Users\lktoy" 폴더에 생성되었을 겁니다.)

문제의 성인 동영상 또는 유료 결제 유도창이 생성되었을 때의 프로세스 정보를 살펴보면 Microsoft HTML 응용 프로그램 호스트 파일인 "C:\Windows\System32\mshta.exe" 파일을 통해 "C:\ProgramData\lktoy\0V662H5A.h" 파일을 실행하도록 등록되어 있는 것을 확인할 수 있습니다.

실제 0V662H5A.h 파일의 소스를 확인해보면 유료 결제 유도창에서 사용하는 소스값임을 확인할 수 있습니다.


이렇게 생성된 창을 사용자가 종료 버튼을 통해 닫을 경우 프로세스의 변화는 다음과 같이 변경됩니다.

즉 사용자가 생성된 창을 종료하면 mshta.exe 프로세스는 종료되지만, 추가적으로 재실행되어 cmd.exe, PING.EXE 프로세스에서 입력된 명령어에 따라 3분 후 결제창을 재실행하도록 구성되어 있습니다.

그 과정을 살펴보면 3분이 경과하는 시점에서 명령어에 따라 "C:\ProgramData\lktoy\resta.bat" 파일이 실행되며, 해당 파일은 "C:\ProgramData\lktoy\0V662H5A.bat" 파일을 로딩합니다.

실행된 0V662H5A.bat 파일은 "C:\ProgramData\lktoy\0V662H5A.h" 파일을 불러와 유료 결제창을 생성하는 방식입니다.


[생성 레지스트리 등록 정보]


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - weblktoy = "C:\ProgramData\lktoy\0V662H5A"

HKEY_CURRENT_USER\Software\Weblktoy


이는 시스템 재부팅 이후에도 시작 프로그램(Run)에 등록된 "weblktoy" 값을 통해 반복적으로 이루어지며, 사용자 입장에서는 프로세스 목록을 봐서는 악성 프로세스를 찾기 어렵습니다.


그러므로 해당 문제로 고생하시는 분들은 다음의 절차에 따라 관련 프로그램을 찾아 삭제하시기 바랍니다.


(1) Windows 작업 관리자를 실행하여 mshta.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.


(2) 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.(※ Windows 7 운영 체제에서는 "C:\ProgramData\lktoy" 폴더 삭제시 "C:\Users\All Users\lktoy" 폴더는 자동 삭제됩니다.)

  • C:\ProgramData\lktoy
  • C:\ProgramData\lktoy\0V662H5A.bat
  • C:\ProgramData\lktoy\0V662H5A.h
  • C:\ProgramData\lktoy\2.dat
  • C:\ProgramData\lktoy\bg.jpg
  • C:\ProgramData\lktoy\resta.bat

Windows XP 운영 체제 환경에서는 "C:\Documents and Settings\All Users\lktoy" 폴더를 찾기 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 체크 해제 및 "숨김 파일 및 폴더 표시"에 체크를 하시고 폴더를 확인하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 본문에 작성된 "생성 레지스트리 등록 정보" 값을 참고하여 수동으로 관련 값을 찾아 삭제하시기 바랍니다.

 

해당 수법은 지속적으로 변화가 있을 것으로 보이므로 되도록 성인 사이트에서 제공하는 파일은 실행하지 않는 것이 중요하며, 보안 업체에서도 이런 패턴의 파일은 랜섬웨어(Ransomware)처럼 지속적으로 PC 사용에 방해를 주므로 진단에 넣는 것이 올바른 진단 정책이 아닌가 생각됩니다.