최근 확인되지 않은 특정 프로그램이 설치된 환경에서 추가적인 다운로드를 통해 사용자 몰래 "Windows appcon(remove data)" 프로그램을 설치하여 온라인 게임을 표적으로 한 악성 프로그램을 설치하는 행위가 확인되고 있습니다.
유포에 활용되는 IP 서버(1.***.83.**)는 국내에 위치하고 있으며, 해당 서버에서 받아오는 파일(MD5 : 7b8bc55be7e828c51d4c5bb5135a2deb)을 통해 "Windows appcon(remove data)" 프로그램이 설치되도록 되어 있습니다.
참고로 해당 파일은 2013년 2월 20일경부터 유포가 확인되고 있으며, BitDefender 보안 제품에서는 Gen:Variant.Graftor.70979 (VirusTotal : 19/46) 진단명으로 진단되고 있습니다.
다운로드된 파일을 통해 백그라운드 방식으로 설치가 이루어지며, 설치되는 프로그램은 "바로콘(Directcon) 업데이트 컨트롤러 프로그램"으로 등록된 "Windows appcon(remove data)" 프로그램입니다.
C:\Program Files\appcon
C:\Program Files\appcon\appcon.exe
- MD5 : 2536658e8864c02235cf479dd4ed7e2e
- avast! : Win32:Adware-AMH [Adw] (VirusTotal : 17/46)
C:\Program Files\appcon\uninst.exe
HKEY_CURRENT_USER\Software\appcon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\appcon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- appcon = C:\Program Files\appcon\appcon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows appcon(remove data)
설치된 "Windows appcon(remove data)" 프로그램은 "C:\Program Files\appcon" 폴더에 파일을 생성하며, Windows 시작시 appcon.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행되는 appcon.exe 파일은 국내 IP 서버(1.***.83.**)에서 업데이트 정보를 체크하여 등록된 파일을 다운로드하는 기능이 포함되어 있습니다.
다운로드되는 부분을 살펴보면 업데이트 서버(appcon.xml)에 등록된 "seqerx media"로 등록된 seqerx.exe (MD5 : 8cb28f2b3bb6ae28f00a08a07498090e) 파일을 다운로드하는 것을 확인할 수 있습니다.
해당 파일은 2013년 3월 9일경 최초 확인되고 있으며, Avira 보안 제품에서는 TR/Dropper.Gen (VirusTotal : 5/46) 진단명으로 진단되고 있습니다.
다운로드된 seqerx.exe 파일은 다시 한 번 국내 IP 서버(1.***.83.**)로부터 seqdown.exe (MD5 : 322f1bf64f69bb5414ba923502eb8b74) 파일을 추가로 다운로드하여 시스템 감염을 유발합니다.
참고로 다운로드된 악성 프로그램 설치 파일은 2013년 3월 9일경 배포가 시작되었으며, Kaspersky 보안 제품에서는 HEUR:Trojan.Win32.Generic (VirusTotal : 12/46) 진단명으로 진단되고 있습니다.
C:\WINDOWS\system32\ctfmons.exe
- MD5 : f55d0a8bba43be4ab9e23c7bd0c53aa5
- Ikarus : Trojan-Downloader.Win32.Delf (VirusTotal : 1/46)
C:\WINDOWS\system32\pmsys.msc :: 메모리 상주 프로세스(Rootkit)
- MD5 : 50186713611276055aafecb5b6acaaf9
- Kaspersky : HEUR:Trojan.Win32.Generic (VirusTotal : 2/46)
C:\WINDOWS\system32\wincash.dat
C:\WINDOWS\system32\winconfig.ini
HKEY_CURRENT_USER\*R'M! H?O!*_!`?.?=흘0^! Z&?!=?)H0Z
생성된 악성 파일들은 모두 시스템 폴더에 위치하고 있으며, 테스트 당시 보안 제품의 진단이 매우 낮을 정도로 꾸준히 업데이트되는 것으로 추정됩니다.
(1) C:\WINDOWS\system32\ctfmons.exe
해당 악성 파일은 정상적인 시스템 파일(C:\WINDOWS\system32\ctfmon.exe)과 유사한 이름으로 등록되어 사용자의 눈을 속이고 있는 것이 특징입니다.
해당 파일은 특정 조건에서 실행되어 루트킷(Rootkit) 기반으로 동작하는 "C:\WINDOWS\system32\pmsys.msc" 파일을 실행하도록 제작되어 있습니다.
(2) C:\WINDOWS\system32\pmsys.msc
해당 파일은 "Microsoft Management Console"에서 이용하는 Microsoft Common Console 문서 포맷으로 등록되어 있으며, 일반적인 프로세스 확인 프로그램에서는 보이지 않는 루트킷(Rootkit) 방식으로 동작합니다.
이로 인하여 사용자는 감염된 환경에서 해당 악성 파일에 대한 존재를 확인하기 매우 어려우며, 특정 온라인 게임을 이용하는 과정에서 화면 훔쳐보기 수법을 통한 정보 유출을 통한 금전적 피해가 발생할 수 있습니다.
그렇다면 해당 악성 파일은 어떤 온라인 게임을 표적으로 하고 있으며, 유포자가 이용하는 불법 서버를 확인해 보도록 하겠습니다.
(3) C:\WINDOWS\system32\wincash.dat
악성 파일(ctfmons.exe, pmsys.msc)은 wincash.dat 구성값을 기반으로 동작하며, 해당 파일에는 한게임(Hangame), 피망(PMang), 넷마블(NetMarble) 온라인 게임에서 제공하는 도박성 포커 게임(로우바둑이, 7포커, 하이로우, 라스베가스 포커, 훌라, 맞포커, 뉴포커)을 표적으로 하고 있습니다.
이를 통해 사용자가 해당 온라인 게임을 실행하는 동작을 확인하면 공격자는 화면 캡처 방식을 통해 실시간으로 상대방의 패를 훔쳐볼 수 있을 것으로 보입니다.
(4) C:\WINDOWS\system32\winconfig.ini
winconfig.ini 파일에서는 공격자가 이용하는 서버 정보를 확인할 수 있으며, "blg"라는 Agent 값을 가지고 있습니다.
해당 정보로 서버를 확인해보면 미국(USA)에 등록된 "Red Monster"라는 도박 서버를 확인할 수 있으며, 해당 서버는 홍콩(HongKong)에 위치한 등록자가 2012년 2월 22일경부터 소유하고 있습니다.
위와 같은 방식으로 감염된 PC 환경에서는 시스템 시작시마다 "C:\Program Files\appcon\appcon.exe" 파일이 업데이트 정보를 체크하여, 차후 변종 악성 파일을 추가로 감염시킬 수 있습니다.
기본적으로 보안 제품을 통한 정밀 검사를 통해 악성 파일을 제거하시기 바라며, 수동으로 문제를 해결하기 원하는 사용자는 다음과 같은 절차에 따르시기 바랍니다.
(1) "Windows appcon(remove data)" 프로그램 삭제하시기
우선 제어판에 등록된 "Windows appcon(remove data)" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.
(2) 다음의 파일들을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\ctfmons.exe
- C:\WINDOWS\system32\pmsys.msc
- C:\WINDOWS\system32\wincash.dat
- C:\WINDOWS\system32\winconfig.ini
만약 "C:\WINDOWS\system32\pmsys.msc" 파일 삭제시 "파일 또는 폴더 삭제 오류"창을 통해 삭제가 이루어지지 않는 경우에는 해당 파일이 루트킷(Rootkit) 방식으로 메모리에 상주하고 있기 때문입니다.
이런 경우에는 GMER 도구를 다운로드하여 실행하시면 "Rootkit/Malware" 또는 "Processes" 탭에서 붉은색으로 표시된 "C:\WINDOWS\system32\pmsys.msc" 목록을 찾아 종료(Kill process)를 하신 후 파일을 삭제하시기 바랍니다.
▷ 국내 악성코드 : Windows ctpop (2013.2.19)
이번에 이용된 유포 방식은 최근 활발하게 전파되고 있는 "Windows ctpop" 악성 프로그램을 통해 사용자 몰래 설치되는 "C:\WINDOWS\system32\WindowsDriver.dll" 온라인 게임 관련 악성 파일과 연관성이 있는 것으로 추정됩니다.(※ 당시 "Windows ctpop" 프로그램 분석시 온라인 게임핵 관련 정보를 확인하지 못해서 내용이 빠져 있습니다.)
이전부터 "Windows ○○○ x86", "○○○ x86", "Windows ○○○" 시리즈와 같은 방식으로 배포되는 악성 프로그램은 업데이트 창을 생성하여 설치를 유도하거나 사용자 몰래 다양한 수익성 프로그램을 비롯한 악성 파일을 설치하는 행위가 지속적으로 발생하고 있습니다.
그러므로 인터넷 상에서 신뢰할 수 없는 파일을 설치할 경우 자신도 모르게 원치 않는 프로그램이 추가로 설치될 수 있으며, 일부 프로그램은 금전적 피해로 연결될 수 있으므로 매우 주의하시기 바랍니다.