토렌트(Torrent) 프로그램을 통해 배포되고 있는 다양한 불법 프로그램 중에는 사용자 몰래 추가적으로 설치되는 악성 프로그램이 존재할 수 있으며, 이로 인하여 원치 않는 다양한 수익성 프로그램 설치 및 정보 유출 등의 문제가 발생할 수 있습니다.
이번에 살펴볼 사례는 2012년 1월 하순경에 배포가 시작된 것으로 보이는 국내에서 제작된 불법 마이크로소프트 오피스 2010(Microsoft Office 2010) 프로그램에 추가된 악성 파일에 대해 살펴보도록 하겠습니다.
확인된 토렌트 파일은 "[한글] MS 오피스 2010 [Microsoft Office 2010].torrent"이며, 내부에는 "한글 오피스+MS 오피스 2010.exe" 파일명으로 된 WinRAR SFX 실행 압축 파일으로 배포되고 있습니다.
다운로드된 압축 파일을 실행하면 임의의 폴더에 압축 해제를 통해 제품이 설치되도록 제작되어 있습니다.
그런데 해당 압축 파일에서는 숨김(H) 속성값을 가지는 autoplay.exe 파일(MD5 : 1c836b34c81a5a060bf18948e9af7e25)이 존재하며, 해당 파일에 대해 Kaspersky 보안 제품에서는 Trojan-Dropper.Win32.Dapato.avls (VirusTotal : 31/46) 진단명으로 진단되고 있습니다.
[생성 파일 및 진단 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\rnsia.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
- MD5 : d1358b8993f20b43d3166c53c07b099c
- AhnLab V3 : Adware/Win32.Anyad (VirusTotal : 28/46)
C:\Documents and Settings\(사용자 계정)\Application Data\rnsiabrow.exe
- MD5 : c5457e9139d64d3753bfb6ce207a901d
- AhnLab V3 : Adware/Win32.Anyad (VirusTotal : 7/46)
autoplay.exe 파일이 실행되면 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 "C:\Documents and Settings\(사용자 계정)\Application Data" 폴더에 rnsia.exe, rnsiabrow.exe 2개의 파일을 생성합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- rnsia.exe = C:\Documents and Settings\(사용자 계정)\Application Data\rnsia.exe
이 중 Windows 시작시 rnsia.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 다음과 같은 동작을 확인할 수 있습니다.
rnsia.exe 파일은 국내에 위치한 "222.122.197.45 :2004" 서버와 지속적인 연결을 통해 통신을 시도하고 있는 동작을 확인할 수 있으며, 현재는 추가적인 프로그램 다운로드 및 악의적 행위는 이루어지지 않고 있습니다.
1. rnsia.exe (시작 프로그램)
생성된 2개의 파일 모두는 파일 버전(1.0.0.616) 정보와 한국어 환경에서 제작된 파일임을 확인할 수 있으며, 정상적인 동작이 이루지는 경우 "222.122.197.45" C&C 서버와 연결되어 rnsiabrow.exe 파일을 통해 추가적인 동작이 있을 것으로 보입니다.
2. rnsiabrow.exe
rnsiabrow.exe 파일은 실행시 네이버(Naver) 메인, 검색, 금융 사이트로 쿼리 전송을 통해 인터넷 연결을 체크하며, 파일 내부 리소스에서 다음과 같은 정보를 확인할 수 있습니다.
"AnyADBrowser"라는 부분을 통해 해당 악성 프로그램은 광고 노출 또는 수익성 프로그램 설치를 위해 제작된 것으로 유추됩니다.
이로 인하여 MS Office 2010 프로그램을 설치한 사용자는 자신도 모르게 설치된 추가적인 악성 프로그램으로 인하여 원치 않는 다양한 수익성 프로그램 설치로 인해 광고 생성 및 타인에게 금전적 수익을 발생시킬 것으로 보입니다.
그러므로 불법 MS Office 2010 프로그램을 설치한 사용자는 보안 제품을 통한 정밀 검사를 권장하며, Windows 작업 관리자를 실행하여 rnsia.exe 프로세스가 존재할 경우 수동으로 종료한 후 생성된 2개의 파일(rnsia.exe, rnsiabrow.exe)을 찾아 삭제하시기 바랍니다.
이번 사례처럼 대용량을 가진 불법 소프트웨어의 경우에는 설치시 악성 파일이 존재한지 확인하기 매우 어려우므로 되도록 정품 소프트웨어를 사용하시기 바라며, 프로그램 설치 과정에서 반드시 안티 바이러스(Anti-Virus) 프로그램의 실시간 감시를 활성화하시고 진행하시기 바랍니다.