본문 바로가기

벌새::Analysis

"toastpop 버전 1.0.0.1" 검색 도우미에 추가된 루트킷(Rootkit) 악성코드 (2013.2.28)

국내에서 유명한 게임 최적화 관련 프로그램 서버쪽에서 발견된 검색 도우미 프로그램 내부에 루트킷(Rootkit) 기반으로 동작하는 악성 파일이 있는 것으로 확인되고 있습니다.

 

  토스트팝(ToastPop) 광고 프로그램으로 위장한 악성코드 유포 주의 (2012.11.25)

 

특히 해당 검색 도우미 프로그램은 2012년 11월 하순경에도 토스트팝(ToastPop) 설치 파일로 변조된 사례(toastpop_004.exe)가 있었으며, 이번에 발견된 파일은 그 이전에 제작된 버전으로 추정됩니다.

 

특히 해당 파일은 설치시 "toastpop 버전 1.0.0.1" 검색 도우미 프로그램이 실제 설치되는 과정에서 사용자 몰래 악성 파일을 설치하는 동작이 확인되고 있습니다.

이번 배포 파일(toastpop_001.exe / MD5 : d8c82c0c08ef3f97dcc8350a61f77b83)은 2012년 10월 30일 최초 확인되었으며, 안랩 클라우드(AhnLab Cloud) 기준으로 15,000대 수준으로 감염이 예상됩니다.

 

또한 해당 파일에 대하여 avast! 보안 제품은 Win32:Dropper-LZL [Drp] (VirusTotal : 30/46) 진단명으로 진단되고 있습니다.

파일 정보를 확인해보면 "Update Setup File for toastpopSetup E001" 파일이며, "OPEN.co., ltd" 디지털 서명이 포함되어 있지만 유효하지 않은 것으로 보아 설치 파일이 변조된 것이 아닌가 추정됩니다.

 

이를 뒷받침하는 부분으로 설치 파일의 내부에는 2개의 파일로 구성되어 있습니다.

 

  • toastpop.exe (MD5 : 31c8181f3fa5902ac533419ed230e9e1) - AhnLab V3 : Trojan/Win32.Genome (VirusTotal : 27/46) :: 루트킷(Rootkit) 악성 파일 설치 기능
  • toastpop_vnr.exe (MD5 : 2d14d0c6aeca401616a1247839f8f529) - AhnLab V3 : Win-PUP/Helper.ToastPop.1043248 (VirusTotal : 6/46) :: "toastpop 버전 1.0.0.1" 검색 도우미 설치 기능

내부에 존재하는 toastpop_vnr.exe 파일의 디지털 서명을 확인해보면 유효한 것으로 보아, 설치 파일 자체가 외부에 의해 변조된 상태로 토스트팝(ToastPop) 검색 도우미 프로그램으로 위장하고 있습니다.

 

파일 배포지를 고려한다면 사용자 동의를 통해 설치가 이루어지는 제휴(스폰서) 프로그램 방식으로 추정되며, 설치 과정은 백그라운드로 설치되어 사용자는 제대로 인지하기 어려울 것으로 보입니다.(※ 이 글에서는 분량상 "toastpop 버전 1.0.0.1" 검색 도우미 프로그램의 세부적인 부분은 제외하고 소개해 드리겠습니다.)

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\toastpop.exe (MD5 : 31c8181f3fa5902ac533419ed230e9e1) - AhnLab V3 : Trojan/Win32.Genome (VirusTotal : 27/46)
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\toastpop_vnr.exe (MD5 : 2d14d0c6aeca401616a1247839f8f529) - AhnLab V3 : Win-PUP/Helper.ToastPop.1043248 (VirusTotal : 6/46) :: "toastpop 버전 1.0.0.1" 검색 도우미 설치 파일

설치가 진행되면 임시 폴더에 2개의 설치 파일이 각각 생성되며, 그 중에서 toastpop.exe 파일에 대한 정보는 다음과 같습니다.

toastpop.exe 파일은 2012년 10월 29일경 제작되었으며, 파일 버전(6.1.7600.16385)은 Windows 7 운영 체제 버전으로 추정됩니다.

배포는 2012년 10월 30일경에 최초로 확인되었으며, 안랩 클라우드(AhnLab Cloud) 기준으로 3,000대 가량 감염이 예상됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Program Files\ERwin\TXiCreLEcU.org
C:\Program Files\ERwin\TXiCreLEcU.sys
 - MD5 : e5b6015c4a322f136b69918ba1474e7b
 - avast! : Win32:Rootkit-gen [Rtk] (VirusTotal : 30/46)

 

최초 "C:\Program Files\ERwin" 폴더 및 내부 파일을 생성한 후, 추가적으로 다음의 파일들을 생성합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Program Files\ERwin\hybrid.org


C:\Program Files\ERwin\hybridapp.exe
 - MD5 : e743308629b71b485d83fe7af8209c9e
 - avast! : Win32:Delf-TBO [Trj] (VirusTotal : 10/44)


C:\Program Files\ERwin\loadhybrid.exe
 - MD5 : df974e8c023b4e617c94089bffc81ee1
 - BitDefender : Trojan.Generic.8082195 (VirusTotal : 18/46) 

이렇게 생성된 파일은 "Userinit Logon Application", "Windows (R) Win 7 DDK provider"라는 속성값을 가지며, 테스트 시점에서는 파일 생성 후 모두 자가 삭제 처리가 이루어집니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TXICRELECU
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TXiCreLEcU

또한 이 과정에서 "TXiCreLEcU" 서비스 항목을 등록하여 시스템 시작시 "\??\C:\Program files\ERwin\TXiCreLEcU.sys" 드라이버 파일을 자동 실행하도록 구성되는 부분을 발견할 수 있습니다.

 

이렇게 감염된 환경에서 사용자가 시스템 재부팅을 하게 되면 윈도우 진입시 평소와는 다르게 매우 느린 동작이 확인되고 있으며, 다음과 같은 동작이 이루어집니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\Windows\system32\userinit.exe,

우선 정상적인 시스템 환경에서는 시스템 시작시 "C:\Windows\system32\userinit.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

 

이 부분을 악용하여 악성코드는 userinit.exe (Userinit Logon Application) 파일을 악성 userinit.exe 파일로 패치를 합니다.

  • C:\windows\system32\userinit.exe (MD5 : 8882fb2cc1e7f850e9c280c19aca8839) - Dr.Web : Trojan.DownLoader7.13769 (VirusTotal : 18/46)

또한 정상적인 userinit.exe 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\orginit.exe" 파일로 보관하여 패치된 userinit.exe 파일이 부팅시 이용할 수 있도록 합니다.

실행된 악성 userinit.exe 파일은 t.bat 파일 생성을 통해 "C:\Program Files\ERwin" 폴더 내의 파일 삭제 기능을 수행하며, 추가적으로 특정 서버에 접속하여 업데이트 체크를 통한 uix.info 파일을 받아오는 동작이 이루어집니다.

다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\tmpSVOnce.info" 파일로 생성되며, 실제 악의적 파일이 추가된 경우에는 추가적인 시스템 감염이 유발될 수 있습니다.

 

이런 동작으로 인해 사용자 입장에서는 시스템 부팅 과정에서 발생한 후 종료되는 이들 파일의 기능은 전혀 눈치챌 수 없으며, 자신도 모르게 다운로드 및 실행되는 악성 파일에 언제든지 구멍이 열려 있게 됩니다.

연결되는 "uccsts.com" 서버는 국내 IP 주소(106.10.127.220 :10001)를 가지고 있으며, 실제 추가적인 조사를 해보면 2012년 11월 7일경부터 2013년 2월 2일경까지 다수의 악성 파일을 해당 IP 서버에서 다양한 도메인(uccsts.com / naver369.com / yaottt.com / dondon10.com)을 통해 다운로드가 이루어진 것을 확인할 수 있습니다.

 

이런 악성코드는 온라인 게임 정보를 탈취하여 금전적 수익을 얻거나 개인정보 유출을 유발할 가능성이 있을 것으로 추정됩니다.

 

그러므로 장기간 유명 프로그램 서버에 등록된 파일을 운영자가 제대로 확인하지 않았거나 동조한 것이 아닌가 의심이 되며, 해당 사이버 범죄자는 과거부터 지속적으로 이런 방식을 통해 돈벌이를 하고 있는 것으로 보이므로 광고 프로그램과 같은 신뢰할 수 없는 프로그램이 설치되지 않도록 주의하시기 바랍니다.