울지않는벌새 : Security, Movie & Society

동영상 도우미 프로그램을 통한 악성코드 유포 주의 (2013.4.27)

벌새::Analysis

최근(2013년 4월 25일경) 국내에서 제작된 유튜브(YouTube) 동영상 검색 및 다운로드 기능을 제공하는 프로그램을 통해 사용자 몰래 악성 파일 설치를 통해 추가적인 다운로드 기능을 수행하는 사례를 확인하였습니다.

프로그램 배포 방식은 블로그 등을 통해 유명 소프트웨어 다운로드를 지원하는 다운로드 프로그램에 등록된 다수의 수익성 프로그램 중 "동영상 도우미" 관련 프로그램을 통해 유포가 이루어지고 있습니다.

해당 동영상 도우미 설치 파일(MD5 : 196016f134e586ecd7249408fb2db739)은 정상적인 디지털 서명이 포함되어 있으며, 국내외 보안 제품에서 진단이 전혀 이루어지지 않고 있는 것으로 확인되고 있습니다.

프로그램 설치가 이루어진 환경에서는 "C:\Documents and Settings\(사용자 계정)\Application Data\loa7" 폴더에 동영상 도우미 관련 프로그램이 설치되며, 이 과정에서 설치 파일은 다음과 같은 추가적인 다운로드를 시도합니다.

해당 설치 파일은 Berryz WebShare 웹 서버를 이용하여 운영되는 국내 "server****.myvnc.com(121.134.169.46)" 서버를 통해 shopsch.exe 파일을 다운로드하는 동작을 확인할 수 있습니다.

  • h**p://server****.myvnc.com:****/shopsch.exe (MD5 : 5a633563c70b3ed7ef7a9cfb25750359) - Kaspersky : Trojan.Win32.Pirminay.aguj (VT : 20/45)

다운로드된 악성 파일은 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\shopsch.exe" 파일로 생성되어 자동 실행을 하도록 구성되어 있습니다.

하지만 생성된 shopsch.exe 파일은 Themida 패킹을 통해 분석을 방해할 목적으로 가상(VM) 환경을 체크하여 실행을 하지 않도록 보호되어 있습니다.

 

1. "server****.myvnc.com(121.134.169.46)" 서버 정보

이번 유포에 활용되고 있는 서버는 해외에서 제공하는 Berryz WebShare 웹 서버이며, 등록자는 국내 IP를 통해 운영되고 있는 것으로 보입니다.

h**p://server****.myvnc.com:****/0001.exe (2013.4.15)
 - MD5 : 91c41a62494010bf33f82c870aebd51c
 - AhnLab V3 : Spyware/Win32.Agent (VT : 29/46)

 

h**p://server****.myvnc.com:****/0001.exe (2013.4.27)
 - MD5 : 424f95580543f173853068467b874edb
 - Avira : TR/Black.Gen2 (VT : 10/46)

해당 서버에서는 0001.exe 파일이 2013년 4월 15일경 1차 배포가 이루어졌으며, 4월 27일 진단에 따라 파일이 교체된 상태입니다.

 

2. 가상(VM) 분석 방해 shopsch.exe 파일 정보

 

동영상 도우미 프로그램을 통해 몰래 다운로드된 shopsch.exe 파일이 실제 어떤 동작을 하는지 Windows 7 운영 체제 환경에서 확인한 정보는 다음과 같습니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\System32\wiascan1prof.exe :: 시작 프로그램 등록 파일 / 숨김(H), 시스템(S) 속성
 - MD5 : 5a633563c70b3ed7ef7a9cfb25750359
 - Kaspersky : Trojan.Win32.Pirminay.aguj (VT : 20/45)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run
 - wiascan1prof = C:\Windows\system32\wiascan1prof.exe

shopsch.exe 파일이 정상적으로 동작할 경우, 자신을 "C:\Windows\system32\wiascan1prof.exe" 파일로 생성한 후 shopsch.exe 파일은 자가 삭제 처리가 이루어집니다.

 

시스템 폴더에 생성된 wiascan1prof.exe 파일은 숨김(H), 시스템(S) 속성값을 가지고 있으므로, Windows 탐색기에서 확인하기 위해서는 "보호된 운영 체제 파일 숨기기(체크 해제)""숨김 파일, 폴더 및 드라이브 표시(체크)" 항목의 폴더 옵션을 수정해야 합니다.

생성된 wiascan1prof.exe 파일은 자신을 시작 프로그램으로 등록하여 시스템 재부팅 과정에서 특정 서버에서 버전 체크 및 01.exe 파일을 추가 다운로드를 시도하고 있습니다.

 

현재는 정상적으로 추가 다운로드가 이루어지지 않고 있지만, 기존 유포 정보(0001.exe)를 기반으로 유추해보며 감염을 통해 정보 유출 기능을 수행할 것으로 보입니다.

  "toastpop 버전 1.0.0.1" 검색 도우미에 추가된 루트킷(Rootkit) 악성코드 (2013.2.28)

 

특히 오늘 교체된 0001.exe 파일 속성값을 확인해보면 "Windows (R) Win 7 DDK provider" 이름으로 등록되어 있으며, 기존에 유사한 루트킷(Rootkit) 기반 악성코드에서도 확인된 적이 있는 변종이 아닐까 생각됩니다.

 

3. 결론

 

해당 유포 사례는 정상적인 디지털 서명을 가진 동영상 도우미 설치 파일을 통해 프로그램이 설치되는 과정에서 외부의 서버로부터 추가적인 다운로드로 감염이 연결되는 부분이 있습니다.

 

이는 동영상 도우미 프로그램의 이름은 직접적으로 언급할 수는 없지만() 해킹을 통해 모든 권한이 탈취된 형태이거나 직접적으로 관여된 부분이 아닐까 추정됩니다.

 

감염을 통해 지속적으로 버전 체크를 통한 악성 파일 교체 및 추가적인 다운로드가 이루어질 수 있으며, 이를 통해 온라인 게임 등 게임 정보 및 민감한 개인정보 유출이 예상됩니다.