시티은행에서 발송한 것으로 위장하여 메일에 첨부된 MS Word 문서(.doc)를 열어볼 경우 악성코드 감염을 유발하는 "Merchant Statement" 스팸 메일에 대해 살펴보도록 하겠습니다.
해당 메일은 다수의 국내 네이트 메일을 사용자에게 전파가 이루어지고 있으며, 메일에 첨부된 Statement ID 4657-345-347-0332.doc 파일(MD5 : ad8b775d634e173dcd923dccc3e9b0e4)을 열어보도록 유도하고 있습니다.
참고로 해당 문서 파일에 대하여 Kaspersky 보안 제품에서는 Exploit.MSWord.Agent.di (VT : 11/46) 진단명으로 진단되고 있습니다.
호기심 많은 사용자가 해당 doc 문서 파일을 실행하면 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\vc.doc" 파일을 생성하여, MS Word 프로그램을 통해 "ERROR 327 - CONTENT COULD NOT BE RENDERED IN YOUR VERSION OF OFFICE." 내용만을 출력합니다.
하지만 이 과정에서 "MSCOMCTL.OCX RCE 취약점(CVE-2012-0158)"을 이용하여 백그라운드 방식으로 악성 파일이 설치되는 동작이 이루어지며, 해당 취약점은 "마이크로소프트(Microsoft) 2012년 4월 보안 업데이트"를 통해 패치가 이루어진 상태입니다.
감염 과정을 살펴보면 악성 doc 문서 파일을 실행하면 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\paw.exe" 파일(MD5 : de758daf63d0f125cdf86a2f51fc9e1e)을 생성하여, 다음과 같은 파일들을 생성하고 자가 삭제 처리됩니다.
참고로 paw.exe 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-Spy.Win32.Zbot.lisy (VT : 12/46) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Address Book
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Address Book\(사용자 계정명).wab
C:\Documents and Settings\(사용자 계정)\Application Data\Xiujmu\akurqi.exe
- MD5 : 18b126de202bb40afc94cd538fd13b89
- AVG : PSW.Generic11.NRP (VT : 19/46)
※ Xiujmu 폴더와 akurqi.exe 파일명은 랜덤(Random)한 값을 가집니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\vc.doc
생성된 파일은 "Dell, Inc" 속성값을 가지고 있는 것이 특징이며, 감염시 마이크로소프트(Microsoft) 관련 폴더에 주소록(Address Book) 관련 파일을 생성하여 차후 스팸 메일 전송 등에 악용할 소지가 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {AB076CC5-0D2F-AD42-A0BF-F6579CCCD545} = "C:\Documents and Settings\(사용자 계정)\Application Data\Xiujmu\akurqi.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile
- DisableNotifications = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
- 17943:TCP = 17943:TCP:*:Enabled:TCP 17943
- 26098:UDP = 26098:UDP:*:Enabled:UDP 26098
설치된 악성 파일은 자신을 시작 프로그램(Run)에 등록하여 시스템 시작시 자동 실행하도록 구성되어 있으며, Windows 방화벽에 특정 TCP/UDP 프로토콜 포트를 추가하여 차단되지 않도록 등록합니다.
이를 통해 시스템 시작시마다 국내외 다수 IP로 통신을 시도하는 동작을 확인할 수 있으며, 특이한 점은 µTorrent 전송 프로토콜 방식을 이용하는 것으로 보입니다.
위와 같은 ZBot 계열 악성코드는 대량의 스팸 메일 발송, 주소록에 등록된 개인정보 수집, FTP 계정 정보 수집 등 다양한 악의적 행위를 할 수 있으므로 주의하시기 바랍니다.
참고로 최근 안랩(AhnLab)에서 공개한 AhnLab V3 Lite Preview 무료 백신 제품에서는 악성 파일에 대한 정식 진단은 이루어지지 않고 있지만, 이번에 새롭게 추가된 MDP 보안 기능을 통해 사용자가 악성 doc 문서 파일을 실행할 경우 Dropper/MDP.Exploit 진단명으로 생성된 관련 파일 및 문서 파일을 일괄적으로 삭제하는 동작을 통해 시스템을 보호하고 있음을 확인할 수 있었습니다.(※ 해당 제품에 대한 공식 리뷰는 생략합니다.)