국내 인터넷 사용자를 타켓으로 하는 사이버 범죄 조직의 악성 프로그램 유포 방식 중에는 광고 프로그램 설치를 통해 추가적인 감염을 유발시키는 사례가 많이 발견되고 있으며, 그 중에서도 상당 기간 꾸준하게 활동하는 조직이 있지만 법적 처벌은 매우 어려운 것으로 보입니다.
▷ 국내 악성코드 : FavorIcon (2013.5.6)
2013년 1~2월경에 집중적으로 유포하던 조직이 2013년 5월경 재활동을 시작한 이후 감염된 시스템에 11번가 바로가기 아이콘을 사용자 몰래 설치하면서 정보 유출 목적으로 제작된 악성 프로그램을 추가로 설치하는 정황을 확인하였습니다.
MD5 : 795fec2376a0d58744dd77d15af4cde9
유포 방식을 추정해보면 서비스에 등록된 확인되지 않은 악성 파일을 통해 시스템 부팅 과정에서 악성 파일(MD5 : 795fec2376a0d58744dd77d15af4cde9) 다운로드 및 실행이 이루어집니다.
참고로 다운로드된 파일에 대하여 AhnLab V3 보안 제품에서는 Dropper/Downloader.193314 (VT : 12/47) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\temp\11baro2.exe
- MD5 : 429849b6ef03cc6fc6934fc2c8643c90
- AhnLab V3 : Trojan/Win32.Downloader (VT : 11/47)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- 11baro3 = "C:\Documents and Settings\(사용자 계정)\Application Data\temp\11baro2.exe"
생성된 악성 파일(11baro2.exe)은 바로 추가 설치가 이루어지는 것이 아니라, 다시 한 번 시스템 시작시 동작하도록 시작 프로그램 레지스트리 항목에 자신을 등록하는 치밀함을 보입니다.
C:\Documents and Settings\(사용자 계정)\Application Data\temp\11baro1.exe
- MD5 : 72e1eac25bc5e0fbcdaa74c6514b6a91
- Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 6/47)
다시 시스템 재부팅이 이루어지는 과정에서 자동 실행된 11baro2.exe 파일은 11baro1.exe 파일을 생성한 후 자가 삭제 처리되며, 생성된 11baro1.exe 파일은 다음과 같은 추가적인 다운로드를 사용자 몰래 진행합니다.
MD5 : e9d05a0063db900e0ee5fd36145927ea
먼저 특정 서버에서 설치 파일(MD5 : e9d05a0063db900e0ee5fd36145927ea)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\setup001.exe" 파일을 생성하여 11번가 바로가기 아이콘 등록 및 자가 삭제되며, 해당 설치 파일에 대하여 Avira 보안 제품에서는 TR/Dropper.Gen (VT : 4/47) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\WINDOWS\11st.ico
바탕 화면에 생성된 11번가 바로가기 아이콘을 실행할 경우 특정 광고 업체 서버를 경유하여 11번가 인터넷 쇼핑몰에 접속하며, 이 과정에서 제휴 코드가 추가되어 수익을 창출하는 것으로 확인되고 있습니다.
MD5 : 67b93c20ac0aea2ed940d782218d0828
설치 파일(setup001.exe)을 통해 11번가 바로가기 아이콘이 설치되는 과정에서 특정 광고 서버에 설치 관련 카운터(Counter) 체크를 수행하며, 추가적으로 앞서 악성 파일을 받아오던 서버로부터 update.exe 악성 파일(MD5 : 67b93c20ac0aea2ed940d782218d0828)을 사용자 몰래 다운로드 및 실행합니다.
C:\WINDOWS\twain16.exe
- MD5 : 67b93c20ac0aea2ed940d782218d0828
- Avira : TR/Dropper.Gen (VT : 3/47)
※ 해당 파일명은 변경될 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run
- twain16 = C:\WINDOWS\twain16.exe
사용자 몰래 추가적으로 다운로드된 update.exe 악성 파일은 "C:\WINDOWS\twain16.exe" 파일로 생성되며, 자신을 시작 프로그램에 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
MD5 : 726403f8dfb72863e002f3e219460b18
다시 시스템 재부팅 과정에서 Windows 폴더에 등록된 twain16.exe 파일은 특정 서버로부터 chfile.exe 파일(MD5 : 726403f8dfb72863e002f3e219460b18)을 다운로드하여 "C:\WINDOWS\CVService.exe" 파일로 생성된 후 실행하는 동작을 확인할 수 있습니다.
참고로 해당 파일에 대하여 MSE 보안 제품에서는 Trojan:Win32/Urelas.C (VT : 11/46) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ctfmom_ADMIN.tgs
- MD5 : 726403f8dfb72863e002f3e219460b18
- MSE : Trojan:Win32/Urelas.C (VT : 11/46)
생성된 "C:\WINDOWS\CVService.exe" 파일은 사용자 임시 폴더에 "(Random)_ADMIN.tgs" 패턴을 가지는 파일로 자가 복제된 후 자신을 삭제 처리하며, 해당 파일은 시스템(S), 숨김(H) 속성값을 가지고 있는 것이 특징입니다.(※ 해당 파일 확인을 위해서는 폴더 옵션 설정값을 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일 및 폴더 표시" 항목에 체크를 하시기 바랍니다.)
이렇게 생성된 파일은 정상적인 "C:\WINDOWS\system32\ctfmon.exe" 시스템 파일명과 동일하여 사용자가 감염 여부를 확인하기 매우 어려우며, 메모리에 상주하는 악성 ctfmon.exe 프로세스는 각종 온라인 게임(baduki.exe, RealBaduki.exe, highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.EXE, DuelPoker.exe, FNF.exe)를 감시하여 정보 유출을 시도할 수 있습니다.
특히 감염된 환경에서는 Windows 폴더에 등록되어 시스템 시작시 자동 실행되는 "C:\WINDOWS\twain16.exe" 파일을 통해 시스템 부팅시마다 매번 사용자 임시 폴더에 생성되는 파일을 재설치합니다.
예를 들어 ctfmom_ADMIN.tgs 악성 파일이 재부팅이 이루어지며 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost_ADMIN.tgs" 파일을 추가 생성하는 방식으로 지속적인 감염을 유발합니다.
이를 통해 이번에는 정상적인 "C:\WINDOWS\system32\svchost.exe" 시스템 파일과 동일한 이름을 가진 악성 svchost.exe 파일을 통해 정보 유출을 시도하는 모습을 확인할 수 있습니다.
참고로 현재 랜덤(Random)으로 생성 가능한 파일은 다음과 같을 것으로 추정됩니다.
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\syslog_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\userlog_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winlog_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svcsg_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\smse_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\service_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\lssas_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\comine_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\explorer_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\spoolvs_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ctfmom_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\taskmgr_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\algs_ADMIN.tgs
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\system_ADMIN.tgs
위와 같은 Win-Trojan/Urelas 진단명으로 대표되는 정보 유출형 악성코드는 사용자의 부주의한 동의 과정을 통해 설치되는 광고 프로그램을 통해 설치된 환경에서 사용자 몰래 추가적인 다운로드를 통해 지속적인 감염을 시도하고 있으며, 이를 통해 금전적 피해 및 추가적인 악성코드 감염에 노출될 수 있으므로 매우 주의하시기 바랍니다.