본문 바로가기

벌새::Analysis

11번가 바로가기 아이콘 프로그램에 추가된 정보 유출 악성코드 주의 (2013.6.24)

국내 인터넷 사용자를 타켓으로 하는 사이버 범죄 조직의 악성 프로그램 유포 방식 중에는 광고 프로그램 설치를 통해 추가적인 감염을 유발시키는 사례가 많이 발견되고 있으며, 그 중에서도 상당 기간 꾸준하게 활동하는 조직이 있지만 법적 처벌은 매우 어려운 것으로 보입니다.

 

  국내 악성코드 : FavorIcon (2013.5.6)

 

2013년 1~2월경에 집중적으로 유포하던 조직이 2013년 5월경 재활동을 시작한 이후 감염된 시스템에 11번가 바로가기 아이콘을 사용자 몰래 설치하면서 정보 유출 목적으로 제작된 악성 프로그램을 추가로 설치하는 정황을 확인하였습니다.

MD5 : 795fec2376a0d58744dd77d15af4cde9

유포 방식을 추정해보면 서비스에 등록된 확인되지 않은 악성 파일을 통해 시스템 부팅 과정에서 악성 파일(MD5 : 795fec2376a0d58744dd77d15af4cde9) 다운로드 및 실행이 이루어집니다.

 

참고로 다운로드된 파일에 대하여 AhnLab V3 보안 제품에서는 Dropper/Downloader.193314 (VT : 12/47) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\11baro2.exe
 - MD5 : 429849b6ef03cc6fc6934fc2c8643c90
 - AhnLab V3 : Trojan/Win32.Downloader (VT : 11/47)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - 11baro3 = "C:\Documents and Settings\(사용자 계정)\Application Data\temp\11baro2.exe"

생성된 악성 파일(11baro2.exe)은 바로 추가 설치가 이루어지는 것이 아니라, 다시 한 번 시스템 시작시 동작하도록 시작 프로그램 레지스트리 항목에 자신을 등록하는 치밀함을 보입니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\temp\11baro1.exe
 - MD5 : 72e1eac25bc5e0fbcdaa74c6514b6a91
 - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 6/47)

 

다시 시스템 재부팅이 이루어지는 과정에서 자동 실행된 11baro2.exe 파일은 11baro1.exe 파일을 생성한 후 자가 삭제 처리되며, 생성된 11baro1.exe 파일은 다음과 같은 추가적인 다운로드를 사용자 몰래 진행합니다.

MD5 : e9d05a0063db900e0ee5fd36145927ea

먼저 특정 서버에서 설치 파일(MD5 : e9d05a0063db900e0ee5fd36145927ea)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\setup001.exe" 파일을 생성하여 11번가 바로가기 아이콘 등록 및 자가 삭제되며, 해당 설치 파일에 대하여 Avira 보안 제품에서는 TR/Dropper.Gen (VT : 4/47) 진단명으로 진단되고 있습니다.

 

[생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\WINDOWS\11st.ico

바탕 화면에 생성된 11번가 바로가기 아이콘을 실행할 경우 특정 광고 업체 서버를 경유하여 11번가 인터넷 쇼핑몰에 접속하며, 이 과정에서 제휴 코드가 추가되어 수익을 창출하는 것으로 확인되고 있습니다.

MD5 : 67b93c20ac0aea2ed940d782218d0828

 

설치 파일(setup001.exe)을 통해 11번가 바로가기 아이콘이 설치되는 과정에서 특정 광고 서버에 설치 관련 카운터(Counter) 체크를 수행하며, 추가적으로 앞서 악성 파일을 받아오던 서버로부터 update.exe 악성 파일(MD5 : 67b93c20ac0aea2ed940d782218d0828)을 사용자 몰래 다운로드 및 실행합니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\twain16.exe
 - MD5 : 67b93c20ac0aea2ed940d782218d0828
 - Avira : TR/Dropper.Gen (VT : 3/47)

 

※ 해당 파일명은 변경될 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run
 - twain16 = C:\WINDOWS\twain16.exe

사용자 몰래 추가적으로 다운로드된 update.exe 악성 파일은 "C:\WINDOWS\twain16.exe" 파일로 생성되며, 자신을 시작 프로그램에 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

MD5 : 726403f8dfb72863e002f3e219460b18

다시 시스템 재부팅 과정에서 Windows 폴더에 등록된 twain16.exe 파일은 특정 서버로부터 chfile.exe 파일(MD5 : 726403f8dfb72863e002f3e219460b18)을 다운로드하여 "C:\WINDOWS\CVService.exe" 파일로 생성된 후 실행하는 동작을 확인할 수 있습니다.

 

참고로 해당 파일에 대하여 MSE 보안 제품에서는 Trojan:Win32/Urelas.C (VT : 11/46) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ctfmom_ADMIN.tgs
 - MD5 : 726403f8dfb72863e002f3e219460b18
 - MSE : Trojan:Win32/Urelas.C (VT : 11/46)

생성된 "C:\WINDOWS\CVService.exe" 파일은 사용자 임시 폴더에 "(Random)_ADMIN.tgs" 패턴을 가지는 파일로 자가 복제된 후 자신을 삭제 처리하며, 해당 파일은 시스템(S), 숨김(H) 속성값을 가지고 있는 것이 특징입니다.(※ 해당 파일 확인을 위해서는 폴더 옵션 설정값을 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일 및 폴더 표시" 항목에 체크를 하시기 바랍니다.)

이렇게 생성된 파일은 정상적인 "C:\WINDOWS\system32\ctfmon.exe" 시스템 파일명과 동일하여 사용자가 감염 여부를 확인하기 매우 어려우며, 메모리에 상주하는 악성 ctfmon.exe 프로세스는 각종 온라인 게임(baduki.exe, RealBaduki.exe, highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.EXE, DuelPoker.exe, FNF.exe)를 감시하여 정보 유출을 시도할 수 있습니다.

 

특히 감염된 환경에서는 Windows 폴더에 등록되어 시스템 시작시 자동 실행되는 "C:\WINDOWS\twain16.exe" 파일을 통해 시스템 부팅시마다 매번 사용자 임시 폴더에 생성되는 파일을 재설치합니다.

예를 들어 ctfmom_ADMIN.tgs 악성 파일이 재부팅이 이루어지며 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost_ADMIN.tgs" 파일을 추가 생성하는 방식으로 지속적인 감염을 유발합니다.

이를 통해 이번에는 정상적인 "C:\WINDOWS\system32\svchost.exe" 시스템 파일과 동일한 이름을 가진 악성 svchost.exe 파일을 통해 정보 유출을 시도하는 모습을 확인할 수 있습니다.

 

참고로 현재 랜덤(Random)으로 생성 가능한 파일은 다음과 같을 것으로 추정됩니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\syslog_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\userlog_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winlog_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svcsg_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\smse_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\service_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\lssas_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\comine_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\explorer_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\spoolvs_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ctfmom_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\taskmgr_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\algs_ADMIN.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\system_ADMIN.tgs

위와 같은 Win-Trojan/Urelas 진단명으로 대표되는 정보 유출형 악성코드는 사용자의 부주의한 동의 과정을 통해 설치되는 광고 프로그램을 통해 설치된 환경에서 사용자 몰래 추가적인 다운로드를 통해 지속적인 감염을 시도하고 있으며, 이를 통해 금전적 피해 및 추가적인 악성코드 감염에 노출될 수 있으므로 매우 주의하시기 바랍니다.