최근 모 웹하드에서 제공하는 수동 설치 파일 내부에 악성 파일을 추가하여 웹하드 프로그램 설치 과정에서 사용자 몰래 온라인 게임을 노리는 악성코드를 감염시키는 사례를 확인하였습니다.
문제의 웹하드 설치 파일은 2012년 12월 11일 경에 변조된 것으로 추정되며, 설치 과정에서는 필수적으로 설치되는 업로더, 다운로더, Patch 프로그램만 선택하여도 자동으로 감염이 이루어지고 있습니다.
C:\Windows\System32\banana.exe
- MD5 : 2e49414c67f832cb5a25815f23708847
- Avira AntiVir : TR/Spy.58880.206 (VirusTotal : 15/46)
C:\Windows\System32\banana_setup.exe
- MD5 : 574ebe4bc30f26368b226f3db0ef0b5e
- BitDefender : Gen:Trojan.Heur.RP.jmW@aCnL1egO (VirusTotal : 17/46)
C:\Windows\System32\wowtc.dll
- MD5 : ef3cb038ccf6b6530a544dfa4ee02ad6
- BitDefender : Gen:Trojan.Heur.LP.dm8@aeyNV!bO (VirusTotal : 11/45)
감염이 이루어지면 웹하드 수동 설치 파일 내부에 존재하는 악성 설치 파일(banana_setup.exe)이 시스템 폴더에 등록되어 banana.exe, wowtc.dll 2개의 악성 파일을 생성합니다.
생성된 파일의 모습을 살펴보면 웹하드 설치 파일에 포함된 banana_setup.exe 파일은 Windows Media Player 아이콘 모양을 하고 있으며, 해당 파일은 2012년 12월 10일경 최초 배포된 것으로 보입니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7BCA6879-A9F8-47DE-AE05-F5CE7EA3A475}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SIORCS.MySIORCS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SIORCS.MySIORCS.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ADF1FA2A-6EAA-4A97-A55F-3C8B92843EF6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellIconOverlayIdentifiers\MySIORCS
생성된 악성코드는 "MySIORCS Class" 값을 레지스트리에 등록되며, "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellIconOverlayIdentifiers\MySIORCS" 값을 통해 Windows 탐색기(explorer.exe) 실행시 wowtc.dll 파일을 자동 실행되도록 제작되어 있습니다.
이를 통해 일정 시간이 경과하면 wowtc.dll 파일에 등록된 중국(China)에 등록된 웹 호스팅을 통해 국내 특정 서버(***.eoqkrskwk.com / 49.247.228.41:800)와 통신을 하도록 등록되어 있으며, 참고로 banana는 User-Agent 값입니다.
실제 서버와 연결된 이후에는 wmqts32.dll (MD5 : 6c08bf59daa04fb4a79b1253a37d7138) 파일을 추가적으로 다운로드하는 것을 확인할 수 있으며, 해당 파일에 대해 BitDefender 보안 제품에서는 Gen:Adware.Heur.fm8@WziY!@hO (VirusTotal : 11/46) 진단명으로 진단되고 있습니다.(※ 해당 파일은 2012년 10월 19일경에 최초 유포가 이루어진 것으로 보입니다.)
해당 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\tmp59DF.tmp" 패턴으로 임시 등록하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\wowtcex.dll" 파일로 생성을 합니다.
이를 통해 Windows 탐색기(explorer.exe) 프로세스에는 wowtc.dll, wowtcex.dll 파일이 인젝션(Injection)되어 동작하는 것을 확인할 수 있습니다.
추가로 생성된 wowtcex.dll 파일 역시 동일한 서버(***.eoqkrskwk.com)와 연결되도록 제작되어 있으며, 실제적인 악성 파일의 기능은 다음과 같습니다.
wowtcex.dll 파일을 통해 사용자가 특정 온라인 게임(baduki, poker7, duelpoker, hoola3, laspoker, highlow2)을 실행하면 사용자 화면 캡처를 통해 게임 정보를 외부에 전송하여 금전적 수익을 얻는데 이용하게 됩니다.
해당 악성코드 구조상 차후 또 다른 악성 파일을 다운로드하여 감염을 유발할 수 있으며, 도박성 온라인 게임을 이용하는 사용자의 게임 정보 유출이 이루어질 수 있으므로 반드시 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.
수동으로 문제 해결을 원하시는 분들은 다음과 같은 절차에 따라 진행하시기 바랍니다.
(1) GMER 프로그램을 다운로드하여 실행하시기 바라며, 다른 모든 프로그램은 종료하시기 바랍니다.
(2) GMER 프로그램의 "File" 탭에서 "C:\Windows\System32\wowtc.dll" 파일을 찾아 "삭제(Delete)" 하시기 바랍니다.
(3) 시스템 재부팅을 한 후 나머지 파일 및 레지스트리 편집기(regedit)를 이용하여 "생성 레지스트리 등록 정보"를 참고하여 관련 값들을 삭제하시기 바랍니다.
- C:\Windows\System32\banana.exe
- C:\Windows\System32\banana_setup.exe
- C:\Users\(사용자 계정)\AppData\Local\Temp\wowtcex.dll
이 외에도 또 다른 악성 파일이 생성되었을 수 있으므로 반드시 유명 안티 바이러스(Anti-Virus) 제품을 이용하여 정밀 검사를 하시기 바라며, 웹하드에서 제공하는 프로그램도 해킹에 의해 악성 파일을 유포시킬 수 있으므로 항상 백신의 실시간 감시를 켜시고 이용하시기 바랍니다.