본문 바로가기

벌새::Analysis

불법 MS 오피스 2010 설치 파일에 추가된 국내 악성 파일 주의 (2013.1.6)

토렌트(Torrent) 프로그램을 통해 배포되고 있는 다양한 불법 프로그램 중에는 사용자 몰래 추가적으로 설치되는 악성 프로그램이 존재할 수 있으며, 이로 인하여 원치 않는 다양한 수익성 프로그램 설치 및 정보 유출 등의 문제가 발생할 수 있습니다.

 

이번에 살펴볼 사례는 2012년 1월 하순경에 배포가 시작된 것으로 보이는 국내에서 제작된 불법 마이크로소프트 오피스 2010(Microsoft Office 2010) 프로그램에 추가된 악성 파일에 대해 살펴보도록 하겠습니다.

확인된 토렌트 파일은 "[한글] MS 오피스 2010 [Microsoft Office 2010].torrent"이며, 내부에는 "한글 오피스+MS 오피스 2010.exe" 파일명으로 된 WinRAR SFX 실행 압축 파일으로 배포되고 있습니다.

다운로드된 압축 파일을 실행하면 임의의 폴더에 압축 해제를 통해 제품이 설치되도록 제작되어 있습니다.

그런데 해당 압축 파일에서는 숨김(H) 속성값을 가지는 autoplay.exe 파일(MD5 : 1c836b34c81a5a060bf18948e9af7e25)이 존재하며, 해당 파일에 대해 Kaspersky 보안 제품에서는 Trojan-Dropper.Win32.Dapato.avls (VirusTotal : 31/46) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\rnsia.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
 - MD5 : d1358b8993f20b43d3166c53c07b099c
 - AhnLab V3 : Adware/Win32.Anyad (VirusTotal : 28/46)

 

 

C:\Documents and Settings\(사용자 계정)\Application Data\rnsiabrow.exe
 - MD5 : c5457e9139d64d3753bfb6ce207a901d
 - AhnLab V3 : Adware/Win32.Anyad (VirusTotal : 7/46)

autoplay.exe 파일이 실행되면 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 "C:\Documents and Settings\(사용자 계정)\Application Data" 폴더에 rnsia.exe, rnsiabrow.exe 2개의 파일을 생성합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - rnsia.exe = C:\Documents and Settings\(사용자 계정)\Application Data\rnsia.exe

 

이 중 Windows 시작시 rnsia.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 다음과 같은 동작을 확인할 수 있습니다.

rnsia.exe 파일은 국내에 위치한 "222.122.197.45 :2004" 서버와 지속적인 연결을 통해 통신을 시도하고 있는 동작을 확인할 수 있으며, 현재는 추가적인 프로그램 다운로드 및 악의적 행위는 이루어지지 않고 있습니다.

 

1. rnsia.exe (시작 프로그램)

생성된 2개의 파일 모두는 파일 버전(1.0.0.616) 정보와 한국어 환경에서 제작된 파일임을 확인할 수 있으며, 정상적인 동작이 이루지는 경우 "222.122.197.45" C&C 서버와 연결되어 rnsiabrow.exe 파일을 통해 추가적인 동작이 있을 것으로 보입니다.

 

2. rnsiabrow.exe

rnsiabrow.exe 파일은 실행시 네이버(Naver) 메인, 검색, 금융 사이트로 쿼리 전송을 통해 인터넷 연결을 체크하며, 파일 내부 리소스에서 다음과 같은 정보를 확인할 수 있습니다.

"AnyADBrowser"라는 부분을 통해 해당 악성 프로그램은 광고 노출 또는 수익성 프로그램 설치를 위해 제작된 것으로 유추됩니다.

 

이로 인하여 MS Office 2010 프로그램을 설치한 사용자는 자신도 모르게 설치된 추가적인 악성 프로그램으로 인하여 원치 않는 다양한 수익성 프로그램 설치로 인해 광고 생성 및 타인에게 금전적 수익을 발생시킬 것으로 보입니다.

그러므로 불법 MS Office 2010 프로그램을 설치한 사용자는 보안 제품을 통한 정밀 검사를 권장하며, Windows 작업 관리자를 실행하여 rnsia.exe 프로세스가 존재할 경우 수동으로 종료한 후 생성된 2개의 파일(rnsia.exe, rnsiabrow.exe)을 찾아 삭제하시기 바랍니다.

 

이번 사례처럼 대용량을 가진 불법 소프트웨어의 경우에는 설치시 악성 파일이 존재한지 확인하기 매우 어려우므로 되도록 정품 소프트웨어를 사용하시기 바라며, 프로그램 설치 과정에서 반드시 안티 바이러스(Anti-Virus) 프로그램의 실시간 감시를 활성화하시고 진행하시기 바랍니다.

  • 불법은 역시 위험한것 같습니다.정품 아니면 오픈소스 쪽을 이용하는것이.안전한것 같습니다.

  • 어머나 저런게 딸려들어오는군요...

  • soultree 2013.01.25 00:10 댓글주소 수정/삭제 댓글쓰기

    아... 이글을 이제 봤네요; 제가 오늘 오피스 설치를 했는데 autoplay이라는 폴더랑 autorun 파일이 있었는데.. 데몬으로 돌려서 cd안에 있는 autorun 파일로 오피스를 설치했는데 괜찬을려나요.. autoplay는 건들지는 안았지만은 이게 자동으로 설치된건 아닌지 불안하네요 ㅠㅠ 일단 v3로 정밀검사를 막했는데 바이러스 뜨지는 안았고, 작업 관리자 에서도 rn~으로 시작하는 프로그램도 찾을수가 없네요
    역시 믿을건 정품이긴 하지만은... 워낙 비싸고 그러다보니 어둠의 경로를 이용하게 되었지만은 이런 불상사가 있을줄이야 생각도 못했네요

    • 이런 방식은 설치 과정에서 자동으로 심어지도록 되어 있습니다.

    • soultree 2013.01.25 18:10 댓글주소 수정/삭제

      찾는 방법이나 없내는 방법 없을까나요.. 마음에 걸리네요

    • 이 악성코드의 변종도 그렇고 파일 아이콘 모양을 동일한 것 같으며, 시작 프로그램에 레지스트리 값을 등록하여 자동 실행되도록 합니다.

      그러므로 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 값에 등록된 파일들을 모두 확인하는 방법 외에는 백신을 이용하시기 바랍니다.

    • soultree 2013.01.26 16:46 댓글주소 수정/삭제

      레지스트리 안에 저 파일들이 없으면은 괜찬은건가요?확인을 해봤는데 없어서요

    • 다른 변종일 수도 있겠지만, 모든 MS 오피스 2010 배포 파일에서 발견되는 문제는 아닙니다.

  • 도움이필요합니다 2013.03.27 20:46 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 좋은 정보 감사합니다 ^^
    다름이 아니라 제가 오피스파일 설치 후
    재부팅을 하니 부팅시마다 방화벽이 자동해제되고
    백신 프로그램 실행도 안되고 하네요 ㅜㅜ
    포스트보고 레지스트리랑 숨김파일 찾아봤는데
    악성코드가 나오진 않네요 ㅜㅜ 이 경우 오피스에
    포함된 악성코드에 감염된 증상인지요?
    안랩게임핵 백신이랑 디도스백신을 돌려보고
    있는데 이렇게해서 치료가능한지 궁금합니다.

    • 내용을 봐서는 안랩에서 제공하는 게임핵 전용백신으로는 해결되지 않을 것으로 보입니다.

      일종의 백도어 계열 악성 파일에 감염된 것이 아닌가 싶습니다.

      http://www.kaspersky.com/antivirus-removal-tool?form=1

      해당 사이트에서 Version 11 검사툴을 다운로드하여 정밀 검사를 진행해 보시기 바랍니다.

      해당 프로그램은 Kaspersky에서 제공하는 수동 검사도구이므로 아마 감염된 파일을 찾아 치료를 하시면 동작하지 않는 백신 프로그램이 돌아오지 않을까 싶습니다.

      그리고 불법 소프트웨어 사용을 되도록 자제하시기 바랍니다.

  • 이걸 2014.04.15 11:30 댓글주소 수정/삭제 댓글쓰기

    이걸 오늘 걸렸네요
    급하게 쓸려고 했더니..
    특정 프로세스가 시퓨 한코어를 다 잡아먹더군요
    그래서 강제 종료하고 검사해서 지웠습니다.
    부팅시 시작까지 정말 똑같이 걸렸네요.
    포터블 프로그램도 딱 한번만 작동되고 더이상 작동도 안하더라는..

  • 몬나니 2014.09.28 00:02 댓글주소 수정/삭제 댓글쓰기

    분석 감사합니다.
    보고 있으니까 저도 한번 악성코드를 분석하고 싶다는 생각이 듭니다만.
    본문에서
    "autoplay.exe 파일이 실행되면 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 "C:\Documents and Settings\(사용자 계정)\Application Data" 폴더에 rnsia.exe, rnsiabrow.exe 2개의 파일을 생성합니다."

    어떤 프로그램이나 방법을 사용하면 exe파일을 실행하면 2개의 악성코드 파일을 생성하는것을 바로 알 수 있는지 궁금해집니다.
    그리고

    "rnsia.exe 파일은 국내에 위치한 "222.122.197.45 :2004" 서버와 지속적인 연결을 통해 통신을 시도하고 있는 동작을 확인할 수 있으며, 현재는 추가적인 프로그램 다운로드 및 악의적 행위는 이루어지지 않고 있습니다."
    생성된 exe파일이 서버와 통신을 시도하는 것을 어떤 프로그램이나 방법으로 확인할 수 있는지 알고 싶습니다.
    혹시 국내에 악성코드를 분석하는 방법이 나와있는 초보자를 위한 튜토리얼이 있다면 가르쳐주시면 도움이 되겠습니다.

    • 안녕하세요. 개인적으로 프로그램 분석에 사용되는 프로그램은 공개하지 않고 있습니다. 죄송합니다.

      대신 http://haerakai.tistory.com/17 블로그 글을 참고하시면 동적 분석하시는데 많은 도움이 되실겁니다.^^

  • 몬나니 2014.09.28 02:14 댓글주소 수정/삭제 댓글쓰기

    분석하는데 가장 중요한 프로그램을 비공개로 하시는 것은 조금이라도 정보가 아쉬운 초보의 입장에서 굉장히 유감스럽습니다만 소개해주신 블로그는 어려운 내용이 많아 보이지만 상당히 도움이 될 것 같습니다.
    좋은 블로그를 소개해주셔서 감사합니다.

  • 안녕하세요 2015.03.29 01:48 댓글주소 수정/삭제 댓글쓰기

    이 악성코드가 설치되었는데, 아무것도 모르고 온라인 결제, 공인인증서 발급 등 너무 많은 작업을 해왔습니다. 알약, V3, 네이버클리너를 통해서 기존에 광고가 뜨던 문제는 해결했는데, 악성코드를 완전 차단한건지도 의심스럽네요. 괜찮을까요?

  • 질문드립니다 2015.10.25 01:47 댓글주소 수정/삭제 댓글쓰기

    토렌트 자료 받은 뒤 설치 하고 보니깐 저도 깔려있네요 ㅠㅠ
    네이버 백신으로 검사 한 뒤 격리 조치 된 후 제가 파일 위치 찾아서 삭제했는데
    괜찮을까요? 소프트웨어도 꼭 정품 사용 해야겠네요.. 당연한거지만

  • 쿠우 2015.12.11 13:08 댓글주소 수정/삭제 댓글쓰기

    rnsia.exe 파일은 국내에 위치한 "222.122.197.45 :2004" 서버와 지속적인 연결을 통해 통신을 시도하고 있는 동작을 확인할 수 있다고 위에서 말씀하셨는데 저거는 컴퓨터 어느 경로에서 확인할수 있는지 알려주실 수 있으신가여?

  • 쿠쿠 2015.12.12 00:14 댓글주소 수정/삭제 댓글쓰기

    제가 토렌트에서 다운받고 앞출을 풀다가 V3백신이 감지했는데 맬웨어 어쩌구 치료 불가라고 뜨는걸보고 앞출푸는걸 중지하고 지웠거든요....근데 여기서 본데는 다 찾아봐도...비슷한 파일은 없는데여...프로그램이 깔렸을까여?...V3로 정밀검사해도 정상으로 나오는데 V3로는 잡아내지 못하는지여?

    • 우선 이 글은 다소 시간이 지났기 때문에 최근과는 다를 수 있습니다.

      아마도 압축 해제 과정에서 V3에서 진단했다면 감염으로 연결되지는 않을 것으로 보입니다.

      추가적인 확인을 원하신다면 메일(http://hummingbird.tistory.com/notice/911)로 해당 토렌트 파일 위치(URL)를 알려주시면 확인해 보겠습니다.

  • 쿠쿠 2015.12.13 00:05 댓글주소 수정/삭제 댓글쓰기

    네 답변글보고 메일로 받은 토렌트 파일 주소 및 토렌트 파일 첨부하였습니다
    확인 부탁드립니다