울지않는벌새 : Security, Movie & Society

Spam 메일 : Corporate eFax message + Payment Advice (2013.7.5)

벌새::Analysis

해외에서 제작되어 무작위로 전파되는 스팸(Spam) 메일의 첨부 파일을 통해 정보 유출, 스팸 메일 발송, 가짜 백신(FakeAV) 등 다양한 악의적인 기능을 수행할 수 있습니다.

이번에 확인된 2통의 메일에서는 인터넷 팩스 서비스 eFax 또는 HSBC 은행에서 발송한 메일처럼 위장하여 zip 압축 파일로 첨부된 파일을 실행하도록 유도하고 있습니다.

  1. 제목 : Corporate eFax message - 2 pages
  2. 제목 : Payment Advice - Advice Ref:[G60048336267] / Priority payment / Customer Ref:[40 024S311X7I]

수신된 이메일 내부에는 fax_id5787896307542543691.zip (fax_id{DIGIT[19]}.exe), Payment Advice [G60048336267].zip (Payment Advice [G60{_net1}].exe) 첨부 파일을 확인할 수 있으며, PDF 문서 아이콘을 통해 사용자가 문서로 착각하여 실행하도록 유도하고 있습니다.

 

확인된 첨부 파일은 모두 동일한 파일(MD5 : 6c869fa3d850a4b6d054e15edc90ab8d)이며, AhnLab V3 보안 제품에서는 Trojan/Win32.Tepfer.R73036 (VT : 31/47) 진단명으로 진단되고 있습니다.

  • h**p://whole*****fanreviews.com/6GhQRPm.exe (MD5 : 68e5b38564e12e9ec408d92d46193862) - F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)
  • h**p://favi***.net/i7K9wKA.exe (MD5 : 68e5b38564e12e9ec408d92d46193862) - F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)
  • h**p://wymiana.***-graf.pl/igr.exe (MD5 : 68e5b38564e12e9ec408d92d46193862) - F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)

파일이 실행되면 특정 서버에서 연결 체크를 통해 동일한 3개의 파일을 추가적으로 다운로드하여 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\(6자리 숫자).exe" 파일로 임시 생성하여 실행합니다.

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Bipi\qomoap.exe
 - MD5 : d93dd7e8d8abee04b1ab6eb7a61c2982
 - F-Secure : Gen:Variant.Kazy.198353 (VT : 6/47)

 

※ 해당 폴더와 파일명은 랜덤(Random)하게 생성되므로, 파일 아이콘 모양을 통해 찾을 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Qomoap = C:\Users\(사용자 계정)\AppData\Roaming\Bipi\qomoap.exe

 

생성된 악성 파일(qomoap.exe)은 Windows 시작시 자동 실행되도록 자신을 시작 프로그램에 등록합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
 - TCP Query User{7879A8DF-27CF-4ED6-BF9E-380F855180F6}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\windows

\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|
 - UDP Query User{144EB3BE-CA07-4FB1-8A4A-3666F1EEE287}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\windows

\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|

또한 Windows 방화벽 정책을 수정하여 특정 TCP/UDP 포트의 접근을 하용하도록하여, 차후 추가적인 파일 다운로드가 이루어질 수 있도록 합니다.

이후 일정 시간이 경과하면 구글(Google) 서버에 쿼리 전송을 통한 네트워크 연결을 체크하는 과정에서 특정 서버로부터 2개의 악성 파일을 추가로 다운로드하는 동작을 확인할 수 있습니다.

  • h**p://apsu***.com/741_out.exe (MD5 : 02172c46d37496e6ff33bdbe8e1ba147) - AhnLab V3 : Dropper/Win32.Necurs.R72791 (VT : 27/47)
  • h**p://josiahde****.net/upd.exe (MD5 : bb94aaf4198f79f61c5984a8cedd342a) - Fortinet : W32/FakeRecovery.AEYK!tr (VT : 3/46)

다운로드된 741_out.exe 파일이 실행되는 과정에서 테스트 환경에서는 BSoD(Blue Screen of Death)가 발생하는 것을 확인할 수 있으며, 시스템 재부팅시마다 정상적으로 Windows에 접근할 수 없습니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\windows\installer\{1f60c847-dcba-bc47-e1d5-0c09c16997d3}\syshost.exe
 - MD5 : 02172c46d37496e6ff33bdbe8e1ba147
 - AhnLab V3 : Dropper/Win32.Necurs.R72791 (VT : 27/47)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\syshost32

이 문제의 원인은 741_out.exe 파일 실행을 통해 "syshost32" 서비스 항목을 등록하여 시스템 시작시마다 ["C:\Windows\Installer\{1F60C847-DCBA-BC47-E1D5-0C09C16997D3}\syshost.exe" /service] 파일을 자동 실행하도록 구성되어 있으며, 일부 PC 환경에서는 블루스크린(BSoD : Blue Screen of Death)이 발생할 수 있습니다.

생성된 파일(C:\windows\installer\{1f60c847-dcba-bc47-e1d5-0c09c16997d3}\syshost.exe)을 확인해보면 "ArcCopyLock"라는 파일 속성값을 가지고 있으며, 중국어(간체, PRC) 언어로 표시되어 있는 것이 특징입니다.

 

원래 기능은 함께 다운로드된 파일을 통해 허위 정보를 바탕으로 유료 결제를 유도하는 랜섬웨어(Ransomware), 락 스크린(Lock Screen), 가짜 백신(FakeAV)와 같은 동작을 할 것으로 보입니다.

 

아무튼 이와 같이 시스템 시작시마다 블루스크린이 발생하여 Windows 시스템에 접근할 수 없는 경우에는 안전 모드(Safe Mode)를 통해 Windows 접속을 시도하시기 바랍니다.

안전 모드 메뉴에서는 "안전 모드(네트워크 사용)" 메뉴를 선택하여 Windows 시작을 진행하시기 바랍니다.

안전 모드 환경에서 명령 프롬프트를 관리자 권한으로 실행하여 [sc delete "syshost32"] 명령어를 통해 등록된 서비스 값을 삭제할 수 있습니다.

그 후 파일을 찾기 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크한 후, "C:\windows\installer\{1f60c847-dcba-bc47-e1d5-0c09c16997d3}\syshost.exe" 파일을 찾아 삭제하시기 바랍니다.(※ 폴더 이름은 변경될 수 있습니다.)

 

이후 Windows를 정상적으로 재부팅하면 블루스크린 증상없이 접속이 이루어지며, 그 후에는 반드시 초기 감염시 생성되었던 "C:\Users\(사용자 계정)\AppData\Roaming\Bipi\qomoap.exe" 파일을 찾아 제거하시는 것이 중요합니다.

 

만약 해당 파일을 삭제하지 않을 경우 차후 추가적인 다운로드를 통해 재감염, 정보 유출, 스팸 메일 발송과 같은 악의적인 기능을 수행할 수 있습니다.

 

이번 사례와 같이 국내외 스팸 메일을 통해 수신된 첨부 파일을 호기심에 실행할 경우 PC를 사용할 수 없는 상황까지 갈 수 있으므로 수상한 이메일의 첨부 파일 또는 링크(URL)를 함부로 클릭하여 시스템 감염이 이루어지는 일이 없도록 조심하시기 바랍니다.