울지않는벌새 : Security, Movie & Society

알약(ALYac) 아이콘으로 위장한 Win-Trojan/Urelas 악성코드 유포 주의 (2013.7.3)

벌새::Analysis

최근 유해 사이트 차단 프로그램으로 알려진 아이세이프플러스(iSafePlus) 프로그램이 설치되는 과정에서 사용자 몰래 "FGSVC32(freeguService32)" 서비스 항목을 등록하는 악성 행위에 대해 소개한 적이 있습니다.

 

  국내 악성코드 : iSafePlus ver 2.0 (2013.6.30)

 

당시 분석 시점에서는 등록된 서비스를 통해 자동 실행된 "C:\Program Files\freegu\FGSVC32.exe" 파일(MD5 : e71a83b81b702faa3e183bfc1180ca51 - AhnLab V3 : Trojan/Win32.Agent (VT : 6/47))이 특정 서버에 등록된 freeguService.dat 값을 체크하는 부분에 대해서 언급을 하였지만, 실제적인 다운로드 등의 행위는 이루어지지 않고 있었습니다.

그런데 2013년 7월 2일 오후경 해당 서버로부터 알약(ALYac) 보안 제품의 아이콘으로 위장한 BTray.exe 파일을 실제 다운로드하는 동작이 이루어지고 있는 부분을 발견하였습니다.

 

참고로 해당 파일(MD5 : 50c0eaf76f096c8fb431baeae75d6422)에 대하여 avast! 보안 제품에서는 Win32:Urelas-B [Trj] (VT : 12/47) 진단명으로 진단되고 있습니다.

사용자 몰래 다운로드된 파일은 Windows 7 운영 체제 기준으로 "C:\Users\(사용자 계정)\AppData\Roaming\BTray\BTray.exe" 파일로 생성되며, 자신을 시작 프로그램으로 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.(Windows XP 운영 체제에서는 "C:\WINDOWS\system32\BTray.exe" 파일로 생성됩니다.)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BTray = C:\Users\(사용자 계정)\AppData\Roaming\BTray\BTray.exe

시스템 시작시 자동 실행되는 BTray.exe 파일은 네이버(Naver) 서버에 쿼리 전송을 통한 네트워크 연결을 체크한 후 메모리에 상주하여 조용히 자신의 정체를 숨기고 있습니다.

프로세스 정보를 확인해보면 알약(ALYac) 무료 백신이 설치된 환경에서는 AYAgent.aye 정상 프로세스와 BTray.exe 악성 프로세스가 함께 노출되며, 사용자는 모두 알약(ALYac) 보안 제품 관련 파일로 착각을 유발하고 있습니다.

 

실행된 BTray.exe 악성 파일은 국내 온라인 게임(highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.EXE, DuelPoker.exe, PMClient.EXE)을 표적으로 제작된 것으로 보이며, 사용자가 해당 온라인 게임을 실행할 경우 동작이 이루어지도록 제작되어 있습니다.

 

이를 통해 게임 정보 유출(스크린 샷), 추가적인 다운로드 및 명령 수행 등을 통해 금전적 피해를 유발할 수 있습니다.

안랩(AhnLab)에서 최근 출시한 AhnLab V3 Lite 3.0 보안 제품 사용자의 경우에는 파일 다운로드를 통한 실행시 Malware/MDP.Behavior.23 진단명으로 행위 기반 진단을 통해 사전 차단이 이루어지고 있습니다.

반대로 알약(ALYac) 보안 제품에서는 테스트 시점에서 파일 진단이 이루어지지 않고 있으므로 매우 주의하시기 바랍니다.(※ 알약(ALYac)에서는 Trojan.Agent.524288.A 진단명으로 진단될 예정입니다.)

 

최근 사용자의 부실한 동의 과정을 거쳐 설치되는 다양한 광고 프로그램을 통해 온라인 게임을 표적으로 한 Win-Trojan/Urelas, Trojan/Win32.Depok, Trojan/Win32.PbBot 계열 악성코드가 지속적으로 발견되고 있으므로 불필요한 프로그램(PUP)이 설치되지 않도록 각별히 조심하시기 바랍니다.